Aanvallers konden Yahoo Mail accounts overnemen via malafide e-mail

Yahoo Mail blijkt een ernstige kwetsbaarheid te hebben bevat. Door een cross-site scripting lek in de HTML-filter van Yahoo Mail konden aanvallers met behulp van een malafide e-mail het Yahoo Mail account van gebruikers overnemen of e-mailinstellingen aanpassen.

hacker Het beveiligingslek is op 26 december 2015 ontdekt door de Finse beveiligingsonderzoeker Jouko Pynnönen, maar wordt nu pas naar buiten gebracht. Pynnönen meldde het probleem via het HackerOne bug bounty programma bij Yahoo en ontving een beloning 10.000 dollar voor zijn ontdekking. Het lek is inmiddels door Yahoo gedicht.

HTML-filter

Het probleem zat in de HTML-filter van Yahoo Mail, die wordt gebruikt om e-mailberichten waarin HTML-code is opgenomen te controleren op malafide code. De HTML-filter bevatte echter een fout waardoor kwaadaardige JavaScript code toch in een e-mail verstopt kon worden. Deze code werd automatisch uitgevoerd zodra een gebruiker de malafide e-mail opende en bood de mogelijkheid het account in zijn geheel over te nemen. Daarnaast konden aanvallers via malafide JavaScript code e-mailinstellingen van gebruikers wijzigen.

Alleen de webmail van Yahoo zou kwetsbaar zijn geweest. De mobiele app van het bedrijf is niet door het probleem getroffen.