• Acasă
  • Despre noi
  • Autori
  • Mărturii
  • Arhivă
  • Trimite Articol
  • Contact

WORLDIT

Lumea în 1 și 0.

  • Știri
    • Tehnologie
    • Tehnologie mobilă
    • Securitate
    • Developers
    • Știință
    • Benzi desenate
    • Jocuri
    • Intern
  • Tehnic
    • Browser
    • C#
    • C/C++
    • Challenge
    • HTML/CSS
    • Javascript, Ajax, jQuery
    • Open Source
    • PHP
    • Python
    • Securitate IT
    • Socializare
    • WordPress
    • Altele
  • Recenzii
  • Interviuri
  • Evenimente

Spamerii se folosesc de o vulnerabilitate Yahoo

1
  • Publicat de Andrei Avădănei
  • în Fără categorie
  • — 22 sept., 2009 at 8:09 pm

yahoo-hackedO persoana ce se ocupa cu securitatea a scos la iveala o vulnerabilitate in serviciile Web ale companiei Yahoo prin care spammerii abuzau de aceasta pentru a face rost de conturi valide Yahoo! prin atacuri brute force.Acestea erau posibile deoarece compania nu a reusit sa aplice aceleasi metode de securitate cum a facut in interfata webmailului.

Ryan Barnett, directorul de la Breach Security a detectat atacurile brute force in timp ce lucra ca leader la Web Application Security Consortium(WASC) , proiectul Distributed Open Proxy Honeypot .Acest proiect permite developerilor posibilitatea de a monitoriza atacurile ce abuzeaza de proxy`uri pentru a se conecta la Yahoo.

Folosind unul din acesti senzori, „WASC DOPHP has identified a large scale distributed brute force attack against what seems to be a web services authentication systems aimed at ISP or partner web applications”, dupa cum avertizeaza Barnett. Sistemul de autentificare vizat este instalat in multe din serverele Yahoo si poate fi reperat folosind cateva cautari speciale pe Google.

Conform cercetatorului, exista cateva componente ce fac ca atacurile sa fie posibile si sa ofere rezultatele vizate de atacatori. Pentru inceput, sistemul nu tine cont de numarul de reincercari, dar chiar daca ar face`o atacatorii folosesc cateva metode pentru a da bypass la detectarea lor. Aceste metode necesita folosirea incercarilor distribuite pe mai multe proxy`uri, tintand API`ul vulnerabil pe mai multe servere Yahoo!, folosind de fiecare data alte combinatii de user/parola pentru a reduce riscul esecului la 0.

Mai mult de atat, spre deosebire de sistemul de autentificare al mailului, sistemul acesta raspunde la autentificari esutate prin precizarea valorii ce a fost incorecta. Folosindu`se de aceasta problema, atacatorii au posibilitatea de a crea liste cu utilizatori valizi folosind dictionare de cuvinte imense si urmarind raspunsul API`ului.

Listele de utilizatori valizi pot fi vandute spamerilor sau folosite pentru atacurile brute force ce vizeaza parolele, ce aparent nu sunt greu de facut cu ajutorul aceluiasi sistem cu probleme. Sistemul actual al webmail`ului introduce o validare Captcha dupa un numar de tentative de autentificare, un mecanism al noului API. Conturile compromise pot fi mina de aur pentru spameri, deoarece traficul de pe Yahoo webmail nu este filtrat in general de ISP.

Conform lui Barnett , bresa de securitate nu este noua si a fost reportata la Yahoo de aproape un an. Alti cercetatori in domeniu securitatii au afirmat ca Yahoo nu e singura companie cu aceasta problema.Majoritatea retelelor sociale sunt expuse la atacuri similare : „We are investigating the situation and will take appropriate action”, a spus o persona de la compania Yahoo.

Mai multe detalii spune The Register

Daca acest articol contine o greseala, selecteaza cuvintele sau fraza gresita si tasteaza combinatia de taste Shift + Enter sau apasa click aici pentru a o raporta. Multumim!

— Andrei Avădănei a scris 1246 articole

Andrei scrie pe worldit.info din vara lui 2011. Este fondatorul Asociatiei Centrul de Cercetare in Securitate Informatica din Romania - CCSIR si coordoneaza DefCamp, cea mai importanta conferinta de securitate informatica & hacking din Europa Centrala si de Est. Andrei ofera in cadrul Bit Sentinel servicii de securitate informatica, penetration testing, security management, recuperarea de pe urma unui atac cibernetic, training-uri si workshop-uri.

  • Articolul anterior Windows XP -Adio
  • Articolul următor Posibilitatea de a trimite atacuri DDOS de pe archive.org

1 Comentariu

  1. begood spune:
    septembrie 22, 2009 la 11:35 pm

    Puahahaha…dupa exact 3 ani se prind… e de bine 🙂


  • Facebook

    WorldIT.info
  • Ultimele Atacuri Cibernetice din Romania – RO Hacked

    • imacoolat-curat.ro
      | Published: februarie 3, 2020 - 2:00 am
    • hotel-palace.ro
      | Published: februarie 2, 2020 - 2:00 am
    • www.tahometru.ro
      | Published: februarie 1, 2020 - 2:00 am
    • alexisart.ro
      | Published: ianuarie 30, 2020 - 2:00 am
    • justshop.ro
      | Published: ianuarie 29, 2020 - 2:00 am
    RO Hacked este registrul atacurilor cibernetice din România.
  • Caută

  • Articole Recomandate

    • Recent Posts
    • Tags
    • Număr record de participanți la DefCamp 2015, cel mai important eveniment dedicat securității cibernetice din Europe Centrala si de Estdecembrie 2, 2015
    • La DefCamp 2015 vei afla prin ce tehnici pot fi evitate măsurile de securitate ale sistemelor informatice criticeoctombrie 16, 2015
    • Ultima sansa sa rezervi bilete de tip Early Bird la DefCamp 2015septembrie 1, 2015
    • 15 sfaturi despre cum poti deveni un programator bun venite de la specialisti romaniaugust 4, 2015
    • algoritmica Android antivirus Apple Avadanei Andrei benzi desenate BitDefender blog browser C++ Chrome concurs eveniment Facebook Firefox Google google chrome hacking html5 infografic informatica internet Internet Explorer IT javascript linux Microsoft Mozilla Firefox online PHP programare retea sociala review Romania securitate Tehnologie Twitter web Windows Windows 7 Wordpress WorldIT worldit.info Yahoo! YouTube
  • ianuarie 2021
    L Ma Mi J V S D
    « dec.    
     123
    45678910
    11121314151617
    18192021222324
    25262728293031
  • Link-uri Sponsorizate

    • laptop second hand

    • Calculatoare Second Hand

    • cod voucher pc garage

  • Home
  • Spamerii se folosesc de o vulnerabilitate Yahoo
  • Important

    • Bit Sentinel
    • Centrul de Cercetare în Securitate Informatică din România
    • DefCamp
  • Prieteni

    • BetiT.ro
    • bijuterii handmade
    • Computerica | Resurse gratuite PC
    • Descopera.org
    • Gadgeturi si IT – Giz.ro
  • Prieteni

    • PC – Config
    • RO Hacked
    • Stiri IT

Copyright © 2009-2014 WORLDIT. Toate drepturile Rezervate.
Termeni și condiții | Contact | Licența Creative Commons

Multumim foarte mult ca ne-ai raportat greseala! O vom remedia in cel mai scurt timp posibil.