Haker sprzedaje exploit zero-day atakujący serwis Yahoo! Zobacz film

Na forach dla hakerów znaleźć można różnego rodzajów exploity zero-day. Doskonałym przykładem jest tutaj exploit, który pozwala na zdobycie dostępu do kont użytkowników Yahoo!. Można go kupić za 700 USD.

Dziennikarz Brian Krebs trafił na jednym z "ekskluzywnych forów dla cyberprzestępców" na interesującą propozycję. Egipski haker ukrywający się pod pseudonimem TheHell oferuje bowiem możliwość poznania szczegółów na temat luki, jaką odkrył na stronie yahoo.com. Zamieścił nawet film, w którym prezentuje potencjalnym klientom możliwości swojego exploita wykorzystującego atak typu XSS (cross site scripting). Brian Krebs zgrał ten materiał i wrzucił do YouTube'a:

Jeżeli atak przy wykorzystaniu wspomnianego exploita by się powiódł, atakujący otrzymuje dostęp do kont pocztowych użytkowników serwisu. Może je następnie wykorzystać np. do rozprzestrzeniania wiadomości zawierającą niebezpieczny link.

TheHell wycenił exploit na 700 USD. Podkreśla przy tym, że nie jest to wygórowana cena, gdyż zazwyczaj tego typu exploity kosztują 1 100 - 1 500 USD. Ponadto twierdzi, że jego oferta skierowana jest tylko do "zaufanych ludzi". Chce mieć bowiem pewność, że wspomniana dziura w zabezpieczeniach nie zostanie załatana w najbliższym czasie.

Krebs poinformował przedstawicieli Yahoo! o istnieniu luki. Obecnie trwają intensywne prace, które mają na celu ją zlokalizować i usunąć.


Zobacz również