4110 Letture

Segnalano falla in Yahoo, premiati con soli 12 dollari

Secondo Graham Cluley, uno dei maggiori esperti di Sophos, Yahoo farebbe di tutto per crearsi problemi da sola. Anziché seguire l'esempio dei principali rivali, la società dal fulgido passato si starebbe avvitando su se stessa.
Cluley aveva aspramente criticato la decisione di Yahoo di rendere nuovamente disponibili per la registrazione e l'utilizzo da parte di nuovi utenti quegli account che da tempo appaiono inutilizzati (Yahoo ricicla gli indirizzi e-mail inutilizzati). Il ricercatore ha parlato di grossi rischi con alcuni utenti che possono così incosapevolmente trovarsi a subire pericolosi "furti d'identità".

L'esperto di Sophos ha poi stigmatizzato il comportamento di Yahoo che offrirebbe un misero premio di 12 dollari e 50 centesimi da spendersi per l'acquisto di una t-shirt sul negozio virtuale dell'azienda a coloro che scoprono delle problematiche di sicurezza.
"I ricercatori di High-Tech Bridge hanno recentemente segnalato alcune vulnerabilità XSS (per sapere di che cosa si tratta, suggeriamo la lettura dell'articolo Vulnerabilità XSS: scopriamo perché sono pericolose, n.d.r.) sui domini ecom.yahoo.com ed adserver.yahoo.com", spiega Cluley. "Ciascuna vulnerabilità, se sfruttata da parte di malintenzionati, avrebbe potuto portare alla compromissione di qualunque account @yahoo.com. Per cadere nella trappola, la vittima avrebbe dovuto solamente fare clic su un link presente nel messaggio di posta ricevuto nella sua casella e-mail".

Come premio per il lavoro svolto, Yahoo avrebbe offerto solo 12,50 dollari per ciascuna vulnerabilità segnalata. Cluley ha voluto quindi pubblicamente criticare un modus operandi che non favorirebbe la segnalazione privata, in modo responsabile, delle lacune di sicurezza eventualmente scoperte. Una politica che, inevitalmente, non può essere capace di attrarre l'interesse dei ricercatori in materia di sicurezza.


Yahoo, nel frattempo, ha provveduto a sistemare le varie vulnerabilità XSS rinvenute dal team di High-Tech Bridge.

  1. Avatar
    wlaguzzi
    02/10/2013 08:32:28
    Scusa Nicolò, d'accordo che nel nostro Paese l'ingegno non è valorizzato... ma che c'entra con Yahoo??? Mica stiamo parlando di un'azienda italiana!!
  2. Avatar
    Nicolò
    01/10/2013 23:43:13
    L'estate scorsa ho scoperto due ENORMI falle di sicurezza sui profili di Yahoo associati alla casella di posta elettronica ma, siccome ci troviamo in un paese dove l'ingegno viene pesantemente sottovalutato, ho pensato bene di fregarmene. Ora scopro che, oltre alla falla rilevata da me, c'era questa che è stata segnalata e premiata con 12 miseri dollari... ogni altro commento sarebbe superfluo!
Segnalano falla in Yahoo, premiati con soli 12 dollari - IlSoftware.it