فجر
الخبير الأمني بريان كريبس، قنبلة من العيار الثقيل تهدد موقع ياهو
ومستخدمي البريد الإلكتروني التابع له حيث إنه كشف عن وجود قرصان يزعم
أنه مصري الجنسية يطلق على نفسه اسم"TheHell" يدعي امتلاك شفرة برمجية
تمكن أي شخص من اختراق حسابات البريد الإلكتروني الخاصة بمرتادي الموقع
والسطو عليها بكل سهولة.
وقام الهاكرز المصري بطرح هذه الشفرة البرمجية للبيع في منتدى الهاكرز "DarKode" لقاء حصوله على مب
وقام الهاكرز المصري بطرح هذه الشفرة البرمجية للبيع في منتدى الهاكرز "DarKode" لقاء حصوله على مب
لغ مادي قدره 700 دولار أمريكي.
ويتمركز هذا الخلل حول الروابط الخبيثة التي تتضمنها رسائل البريد الإلكتروني فبمجرد ضغط المستخدم على هذه الروابط بدون قصد فإنه يسمح للمخترق أو المهاجم بالدخول إلى حسابه عن طريق استغلال ثغرة "XSS" وهي اختصار لـ"cross-site scripting" في بريد ياهو تمكن المخترق من حقن أكواد برمجية خبيثة ضارة تأتي على شكل رسالة واردة في البريد الإلكتروني.
وحال نقر المستخدم عن طريق الخطأ على الرابط الضار المرسل ضمن "الإيميل" وتصفح الصفحة المصابة يتم إعادة توجيه "الضحية" إلى صفحة البريد الإلكتروني الخاصة به مرة أخرى وبالتالي يستطيع الهاكرز سرقة الحسابات وتتبع ملفات تعريف الارتباط "كوكيز" الخاصة بالمستخدم وغيرها من المعلومات الحساسة الخاصة.
وهذا معناه أنه عندما يضغط المستخدم على الرابط الموجود داخل رسالة "الإيميل" وتصفح الرابط هذا على المتصفح الذي يستخدمه في جهازه يستطيع الهاكرز تتبع ملفات التعريف الخاصة به والوصول إلى المعلومات الحساسة الخاصة به أيضًا.
يذكر أن كبار المواقع تعرض المال على من يبلغها بوجود أي خلل أمني فيها فيدفع "فيسبوك" 500 دولار أمريكي للباحث الأمني الذي يقوم بالإبلاغ عن ثغرات أمنية في الموقع من نوع "Cross Site Scripting-XSS" وقرابة الـ 1337 دولارًا لمن يجد ثغرة عالية الخطورة مثل "SQL Injection".
أما عملاق البحث "جوجل" فيكافئ من يتواصل مع الفريق الأمني الخاص بها للإبلاغ عن تفاصيل ثغرات أمنية بمبلغ قدره 3000 دولار للثغرة المصنفة من النوع عالي الخطورة.
ويتمركز هذا الخلل حول الروابط الخبيثة التي تتضمنها رسائل البريد الإلكتروني فبمجرد ضغط المستخدم على هذه الروابط بدون قصد فإنه يسمح للمخترق أو المهاجم بالدخول إلى حسابه عن طريق استغلال ثغرة "XSS" وهي اختصار لـ"cross-site scripting" في بريد ياهو تمكن المخترق من حقن أكواد برمجية خبيثة ضارة تأتي على شكل رسالة واردة في البريد الإلكتروني.
وحال نقر المستخدم عن طريق الخطأ على الرابط الضار المرسل ضمن "الإيميل" وتصفح الصفحة المصابة يتم إعادة توجيه "الضحية" إلى صفحة البريد الإلكتروني الخاصة به مرة أخرى وبالتالي يستطيع الهاكرز سرقة الحسابات وتتبع ملفات تعريف الارتباط "كوكيز" الخاصة بالمستخدم وغيرها من المعلومات الحساسة الخاصة.
وهذا معناه أنه عندما يضغط المستخدم على الرابط الموجود داخل رسالة "الإيميل" وتصفح الرابط هذا على المتصفح الذي يستخدمه في جهازه يستطيع الهاكرز تتبع ملفات التعريف الخاصة به والوصول إلى المعلومات الحساسة الخاصة به أيضًا.
يذكر أن كبار المواقع تعرض المال على من يبلغها بوجود أي خلل أمني فيها فيدفع "فيسبوك" 500 دولار أمريكي للباحث الأمني الذي يقوم بالإبلاغ عن ثغرات أمنية في الموقع من نوع "Cross Site Scripting-XSS" وقرابة الـ 1337 دولارًا لمن يجد ثغرة عالية الخطورة مثل "SQL Injection".
أما عملاق البحث "جوجل" فيكافئ من يتواصل مع الفريق الأمني الخاص بها للإبلاغ عن تفاصيل ثغرات أمنية بمبلغ قدره 3000 دولار للثغرة المصنفة من النوع عالي الخطورة.
0 التعليقات:
إرسال تعليق