Skribent

2009-09-22 07:00

Sårbar bakdörr hotar Yahoo Mail

Cyberkriminella utnyttjar en flera år gammal sårbarhet i Yahoos mailnätverk som ger möjlighet till obegränsade gissningsförsök av lösenord.

En webbapplikation som automatiserar inloggningsprocessen mot mejltjänsten Yahoo Mail visar sig sakna skydd mot brute-force attacker, något som öppnat för systematiska angrepp där det bara är en fråga om tid innan konton blir hackade. Det menar Ryan Barnett, forskningschef på Breach Security som granskat hur applikationen svarar på anrop.

Under de senaste veckorna har en sensor, installerad av Web Application Security Consortium, läst av tusentals inloggningsförsök mot Yahoos webbapplikation via dess textbaserade applikationsgränssnitt (api). Då sensorn endast ser angreppen mot en enda proxy, bland en stor mängd, gissar Barnett att den bara rapporterar ”toppen av isberget” när det gäller det totala antalet brute-force försök.

Själva webbapplikation i detta fall ser ut att utgöra en slags bakdörr som via sitt api-gränssnitt ger Yahoos samarbetspartners åtkomst till Yahoo-mejlkonton utan att de behöver lämna sina egna webbplatser.

Till skillnad från Yahoo Mails webbfront, där användare tvingas ange en captcha-kod vid misslyckade inloggningar, kräver inte den granskade api:n något sådant, en brist som väsentligen förenklar automatiserade angrepp, menar Barnett.

Inte heller begränsas den feedback som ges vid felaktigt lösenord av varianter som ”Fel användarnamn eller lösenord”, en teknik som ska göra det svårare för angripare att komma underfund med om det var användarnamnet eller lösenordet som var felaktigt.

Yahoos api returnerar rakt på sak huruvida det var lösenordet eller användarnamnet som angavs felaktigt, uppger Barnett. Detta underlättar gissningsförsöken då det vid positivt träff på slumpade användarnamn endast blir en fråga om att gissa rätt lösenord.

Enligt Barnett, som under förra veckan bloggade i detalj om detta, har sårbarheten funnits i minst två år. Han informerade Yahoo om problemet under 2007, men så sent som i fredags förra veckan kvarstod sårbarheten, uppger han till The Register.

Yahoo har samtidigt svarat att man tar online-säkerhet på stort allvar och att man undersöker saken med avsikten att vidta lämpliga åtgärder.

Tommy Engfors

Skribent

Tommy Engfors

Externa länkar

Senaste nytt

2023-09-29 13:11Computer Sweden Computer Sweden Amazon Web Services rullar ut AI-satsningen Bedrock
2023-09-29 12:42Computer Sweden Computer Sweden Nu går det att blockera Googles AI-träning på dina sajter
2023-09-29 12:41Computer Sweden Computer Sweden Allvarliga sårbarheter i populärt ftp-program
2023-09-29 09:16Computer Sweden Karin Lindström NSA startar säkerhetscenter för att hålla koll på AI
2023-09-29 09:00Computer Sweden Marcus Jerräng Gryningsräd mot Nvidia i Frankrike

100 Senaste

IDG.se

IDG.se är Nordens största nyhetssajt inom it. Här finns nyheter och fördjupning från alla sajter i vårt nätverk.

Chefredaktör & ansvarig utgivare: Marcus Jerräng
Annonsansvarig: Lina Vikman

Computer Sweden | CIO Sweden | IDG.se

Nyttiga länkar

Om

Besöksadress: Magnus Ladulåsgatan 65 106 78 Stockholm Tel: 08-453 60 00

Foundry

Sajter om it & teknik

CIO SwedenIt-strategi, affärsnytta och kundrelationer.
Computer SwedenDagliga nyheter om it, telekom och affärer.
IDG.seDe viktigaste nyheterna från sajterna i vårt nätverk.
M3Sveriges prylsajt.
MacWorldAllt om Mac, OS X, Iphone och Ipad.
PC för AllaSveriges största och mest lästa datortidning.
SmartworldDin guide till det smarta hemmet.

Tjänster

Karriär & ledarskap

Stäng

Meny

IT för proffs

Het teknik

Samhälle & politik

Big Tech

Om

Tommy Engfors

Skribent

Sårbar bakdörr hotar Yahoo Mail

Tommy Engfors

Skribent

Externa länkar

IDG.se

Nyttiga länkar

Om

IDG.se

Nordens största it-nätverk

Foundry

Sajter om it & teknik

Tjänster

Karriär & ledarskap