10 mil dólares de recompensa para el hacker que reportó vulnerabilidad en Yahoo Mail

La vulnerabilidad podría haber sido utilizada para extraer los mensajes de los usuarios e inyectar de código malicioso sus mensajes salientes

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan que Yahoo ha corregido una vulnerabilidad crítica de scripts entre sitios (XSS) en el servicio de Yahoo Mail. La vulnerabilidad podría haber sido explotada por usuarios maliciosos para extraer mensajes de las víctimas, incluso para inyectar código malicioso en la bandeja de salida.

La vulnerabilidad podría haber sido explotada por grupos de hackers para reenviar los correos de las víctimas a sitios web externos bajo su control, incluso podrían haber conseguido hacer cambios en la configuración de las cuentas de Yahoo Mail comprometidas para realizar otras actividades no autorizadas.

Los especialistas en seguridad en redes creen que esta vulnerabilidad está relacionada con una inadecuada filtración de código HTML malicioso en las plataformas de correo electrónico. Esta vulnerabilidad XSS fue descubierta alojada en Yahoo Mail a finales del año pasado, aunque Yahoo pudo corregirla hasta enero de 2019. El investigador que reportó la vulnerabilidad a la compañía fue recompensado con 10 mil dólares.

Originario de Finlandia, Jouko Pynnönen, el experto en seguridad en redes que reportó la vulnerabilidad, mencionó que no le es posible revelar detalles técnicos sobre la vulnerabilidad debido a que Oath, empresa propietaria de Yahoo, así se lo ha solicitado, aunque sí mencionó que se relaciona con el filtrado de código HTML.

Pynnönen ha descubierto otras fallas similares en el pasado. Por ejemplo, en 2015 reportó otra vulnerabilidad XSS en Yahoo Mail por la que también le fue otorgada una recompensa. Esa falla en específico podría haber permitido a un hacker enviar emails con código JavaScript oculto, mismo que se ejecutaría una vez que el usuario interactuara con el mensaje.

Asimismo, en 2016 el experto descubrió una nueva vulnerabilidad XSS en el mismo servicio de email, que podría haber expuesto los mensajes personales de cualquier usuario, por la que también recibió una recompensa de 10 mil dólares de parte de Yahoo.