Yahoo Email, memiliki kelemahan lagi?. Video Yahoo Mail Hacking 2013 membuka kelemahan yang ada dalam sekuriti email Yahoo dan browser. Dikatakan sudah teratasi secara resmi oleh Yahoo dalam posting Yahoo Mail users hit by widespread hacking, XSS exploit seemingly to blame (Update: Fixed). Namun TNW dalam posting selanjutnya mengatakan bahwa lobang keamanan Yahoo! Email masih belum aman sepenuhnya.
not so new Yahoo! again put ~400 million user in risk here is demo: youtube.com/watch?v=GJsMRD… full detail PoC will be available after patch. #RT
— Shahin Ramezany (@abysssec) January 6, 2013
Friends and colleagues, don't click the link that was sent to you from my Yahoo email account, I was hacked :/ Apologies!
— Cristina Vee (@CristinaVee) January 7, 2013
Pada awalnya seorang hacker Shahin Ramezany aka @abysssec memposting video Yahoo Mail Hacking 2013 di YouTube. Video tersebut menunjukkan bagaimana caranya menghack atau membajak email Yahoo! dengan memanfaatkan kelemahan browser DOM-Based XSS vulnerability. Video di bawah ini menjelaskan bagaimana caranya Ramezany melakukan hacking email dengan memanfatkan kelemahan XSS DOM ke ratusan ribu orang pemilik akun email Yahoo!. Tweet diatas adalah salah satu korbannya.
Kebiasaan baik untuk mengganti password memang seharusnya dilakukan. Sudah seringkali mendengar cerita tentang email yang dibajak ataupun akun-akun sosial media lainnya. Kejadian hacking akun email atau pembajakan akun email Yahoo! secara besar-besaran memang pernah juga terjadi di masa lalu, Yahoo! sendiri mengkonfirmasi bahwa itu pernah terjadi di Yahoo confirms 400,000 accounts hacked, less than 5% valid.
Kembali TNW mengatakan bahwa kelemahan akun email Yahoo! masih bisa diserang dengan metode dan script milik @abyssec dalam laporannya di Researchers say Yahoo Mail exploit still active, despite claim of being fixed, seperti terlihat pada video dibawah ini:
With little modification to the original proof of concept code written by Abysssec, it is still possible to exploit the original Yahoo vulnerability, allowing an attacker to completely take over a victim’s account. The victim has to be lured to click a link which contains malicious XSS code for the attack to succeed. This can demonstrated by the video we have created just this morning (10:23 AM EST, Jan 8th, 2013) after Shahin kindly shared proof of concept code with us.
Yahoo! patched the vulnerability but patch was not effective enough and users are still in risk .... more info offensive-security.com/offsec/yahoo-d…
— Shahin Ramezany (@abysssec) January 8, 2013
Hingga saat ini menurut TNW belum ada konfirmasi lagi dari Yahoo! tentang bagaimana mengatasi tersebut. Jangan sampai email Yahoo! anda terbajak, hati-hati membuka atau mengklik link dari email yang tak dikenal atau mencurigakan
Sumber : http://www.offensive-security.com/offsec/yahoo-dom-xss-0day-prevails/
