Người dùng Yahoo Mail có thể mất tài khoản

haqduong · 05-04-2008, 12:44

Người dùng Yahoo Mail có thể mất tài khoản

Thời gian gần đây, rất nhiều người than phiền không thể đăng nhập vào hòm thư, công cụ chat Yahoo Messenger. Nguyên nhân là tài khoản của họ đã bị đánh cắp thông qua lỗi Cross Site Scripting (XSS) trên hệ thống 360.

Trưởng ban biên tập website nhacso.net Nguyễn Ngọc Long, người đã phát hiện ra lỗ hổng có thể giúp hacker trộm tài khoản của người sử dụng, kể lại: "Chính tôi cũng bị mất mật khẩu và lấy lại được vì nhớ thông tin cá nhân khi đăng ký. Tôi kiểm tra mailbox của blog và phát hiện ra một e-mail lạ. Khi nhấn vào thư này, đường dẫn của Yahoo sẽ tự động chuyển qua một trang đăng nhập Yahoo nhưng xuất phát từ tên miền không thuộc sở hữu của nhà cung cấp dịch vụ".

Ông Long khẳng định đây chính là một dạng phishing (giả mạo website để ăn cắp thông tin cá nhân). Về nguyên tắc, khi thiết kế hệ thống, lập trình viên phải chặn và lọc tất cả dữ liệu được truyền vào từ phía người sử dụng, loại bỏ mã JavaScript nguy hiểm, mã HTML không mong muốn. Trong hầu hết các trường hợp, để chắc chắn lập trình viên mặc nhiên không cho phép member đưa mã JavaScript vào dữ liệu lưu trên máy chủ. Nhưng lỗ hổng của Yahoo 360 đã "bỏ quên" điều này.

Quote:

Lỗ hổng Cross Site Scripting cho phép hacker chạy một đoạn mã JavaScript tại máy tính người truy cập và có thể ăn cắp thông tin cá nhân được lưu trong máy tính của người dùng dưới dạng cookie trình duyệt, giả mạo website đăng nhập để ăn cắp thông tin cá nhân.

Source: quantrimang

hophuongA6 · 06-04-2008, 21:12

Tớ vừa bị đúng i tnày

Thông tin cá nhân thì nhớ nhưng mà chả nhớ hồi trc đăng kí cái zip code là gì nên ko lấy lại pass đc, làm tnào giờ

babyboy · 07-04-2008, 12:08

Cái trò lấy code để giả mạo này có từ cách đây 6,7 năm chứ có fải bây giờ mới có đâu.

Chú nào gà thì ráng chịu

Anh vẫn nhớ đầy đủ thông tin cá nhân, cả câu hỏi bí mật nữa, mất chả sợ

hophuongA6 · 07-04-2008, 15:03

6, 7 năm trc thì em chỉ biết vi tính nó có star với đế chế thôi anh ạ

Thông tin cá nhân với câu hỏi bí mật em cũng nhớ, nhưng mà cái zip code Vn ko có hồi đấy điền bừa nên giờ chả nhớ là gì.

Mà ts, hnay đổi đc rồi mới dám nói, chứ cái tài khoản paypal của em cũng đăng kí email đấy, hqua mất run vđ', mà lại là chủ nhật nữa.

06-04-2008, 21:12
hophuongA6 God Member Join Date: 21-12-2004 Posts: 718 KL$: 1.233 Awarded 22 time(s) Sent 138 thank(s) Received 134 thank(s)	Tớ vừa bị đúng i tnày Thông tin cá nhân thì nhớ nhưng mà chả nhớ hồi trc đăng kí cái zip code là gì nên ko lấy lại pass đc, làm tnào giờ ------------------------------ http://www.facebook.com/hophuongkl

07-04-2008, 12:08
babyboy V.I.P Join Date: 24-03-2003 Posts: 1.110 KL$: 528 Awarded 26 time(s) Sent 57 thank(s) Received 150 thank(s) Class: H (2001-2004)	Cái trò lấy code để giả mạo này có từ cách đây 6,7 năm chứ có fải bây giờ mới có đâu. Chú nào gà thì ráng chịu Anh vẫn nhớ đầy đủ thông tin cá nhân, cả câu hỏi bí mật nữa, mất chả sợ ------------------------------ Far away

07-04-2008, 15:03
hophuongA6 God Member Join Date: 21-12-2004 Posts: 718 KL$: 1.233 Awarded 22 time(s) Sent 138 thank(s) Received 134 thank(s)	6, 7 năm trc thì em chỉ biết vi tính nó có star với đế chế thôi anh ạ Thông tin cá nhân với câu hỏi bí mật em cũng nhớ, nhưng mà cái zip code Vn ko có hồi đấy điền bừa nên giờ chả nhớ là gì. Mà ts, hnay đổi đc rồi mới dám nói, chứ cái tài khoản paypal của em cũng đăng kí email đấy, hqua mất run vđ', mà lại là chủ nhật nữa. ------------------------------ http://www.facebook.com/hophuongkl