Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: Yahoo

Wykonanie kodu na serwerze Yahoo… jedną linijką

27 grudnia 2017, 11:17 | W biegu | komentarzy 5

Przygoda rozpoczęła się od rekonesansu – czyli użyciu narzędzi typu Zoomeye, czy Shodan w celu znalezienia odpowiedniego celu. Niezłym celem okazał się datax.yahoo.com, gdzie po krótkim bruteforce katalogów na webserwerze, udało się zlokalizować API. Finalnie udało się wykorzystać w stosunkowo prosty sposób podatność w SpEL (Spring Expression Language) i po chwili…

Czytaj dalej »

Yahoobleed – czyli wyciąganie danych z pamięci serwerów Yahoo! 0day na ImageMagick

20 maja 2017, 10:45 | W biegu | 0 komentarzy

Biblioteka ImageMagick, raczej w ostatnich miesiącach nie ma szczęścia. Tym razem udało się komuś przygotować prosty (18 bajtów!) obrazek, który wysłany pocztą Yahoo do samego siebie, po przetworzeniu zawierał… fragmenty pamięci z serwerów: The attack vector for these demos was to attach the 18-byte exploit file (or a variant) as a…

Czytaj dalej »

Dwa wycieki, które kosztowały ~1 400 000 000 złotych…

21 lutego 2017, 15:42 | W biegu | 0 komentarzy

Czy ktoś konkretny ucierpiał finansowo w tym temacie… na razie nie, czy ktoś zgłosił się po odszkodowanie? Chyba też nie… Natomiast bardzo konkretna jest kwota – okrągłe $350 000 000,  które zmniejszyło wcześniej wynegocjowaną wartość przejęcia Yahoo przez Verizon. Jako powód zmniejszenia kwoty sprzedaży podaje się wykrycie dwóch wycieków z Yahoo obejmujących w sumie około…

Czytaj dalej »

Można było czytać maile użytkowników poczty Yahoo – błąd warty $10 000

08 grudnia 2016, 19:37 | W biegu | 0 komentarzy

Tym razem w akcji persistent XSS. Można było przygotować odpowiednio maila, który po przeczytaniu w webmailu Yahoo powodował automatyczne wykonanie JavaScriptu w przeglądarce ofiary. Odkrywca błędu w ramach PoC przygotował stosowną wiadomość: As a proof of concept I supplied Yahoo Security with an email that, when viewed, would use AJAX to…

Czytaj dalej »

Cała poczta przychodząca użytkowników Yahoo była (jest?) automatycznie skanowana przez amerykańskie służby

04 października 2016, 22:23 | W biegu | komentarze 2

Reuters donosi o specjalnym oprogramowaniu w Yahoo służącym do skanowania przychodzących e-maili. Całość na życzenie NSA lub FBI. Tego typu rzeczy oczywiście się dzieją, ale zastanawiający jest fakt, że wg Reutersa analizowana była (jest?) przychodząca poczta wszystkich użytkowników (a nie np. wybranej grupy). Proceder miał wg źródeł miejsce w wyniku…

Czytaj dalej »

Największy wyciek haseł w historii – Yahoo potwierdza: wyciek pół miliarda kont!

22 września 2016, 20:56 | W biegu | 0 komentarzy

Spektakularnym wyciekom końca nie widać… tymczasem Yahoo potwierdza wykradzenie przynajmniej 500 milionów kont swoich użytkowników! Wyciekły: e-maile, numery telefonów, daty urodzeń i hasła (w formie zahashowanej). Wyciek datowany jest na 2014 i wg Yahoo został wykonany przez organizację, za którą stoi jeden z rządów (state-sponsored actor): The data stolen may…

Czytaj dalej »

Czas na Yahoo – wyciek 200 milionów kont

02 sierpnia 2016, 19:01 | W biegu | 0 komentarzy

Był już LinedIN, był MySpace – teraz ten sam sprzedający wystawił bazę 200 milionów kont z Yahoo (e-mail / hash MD5(1) / data urodzenia). Baza jest prawdopodobnie z okolic 2012 roku, a tym razem cena to 3 BTC, a Yahoo tak komentuje całą sprawę: We are committed to protecting the security…

Czytaj dalej »