Jouko Pynnonen นักวิจัยด้านความปลอดภัยชาวฟินแลนด์พบช่องโหว่ Stored XSS ที่สามารถฝังโค้ดหรือสคริป JavaScript ที่เป็นอันตรายลงบนเว็บไซต์ Yahoo Mail ได้ซึ่งส่งผลกระทบให้ผู้ไม่ประสงค์ดีสามารถอ่าน หรือส่งเมลจากบัญชีที่ถูกโจมตีไปยังแฮกเกอร์ หรือเปลี่ยนแปลงการตั้งค่าและ redirect เว็บเบราวเซอร์ของเหยื่อไปยังเว็บไซต์ทีเป็นอันตรายได้ โดยที่เหยื่อเพียงแค่เปิดอ่านอีเมล์เท่านั้น

อย่างไรก็ตาม Pynnonen เปิดเผยว่าช่องโหว่ดังกล่าวจะสามารถรันจาวาสคริปต์บน Web Browser ของเหยื่อได้เมื่อเหยื่อเข้าสู่ระบบ Yahoo Mail โดยช่องโหว่ดังกล่าวจะกระทบกับ Yahoo Mail ที่เป็นเวอร์ชั่นเว็บ จะไม่กระทบกับเวอร์ชั่นที่เป็น Mobile App, ช่องโหว่ Stored XSS ถูกแก้ไขแล้วโดย Yahoo ได้จ่ายเงินรางวัลให้กับ Jouko Pynnonen เป็นจำนวนเงิน $10,000 เหรียญหรือประมาณ 360,000 บาท

ที่มา : threatpost

ทีมนักวิจัยของ Symantec ได้ออกมาประกาศแจ้งเตือนผู้ที่ใช้งาน Gmail, Outlook และ Yahoo Mail ว่าให้ระวังเทคนิคการหลอกลวงรูปแบบใหม่ของผู้ไม่ประสงค์ดี เริ่มต้นโดยผู้ไม่ประสงค์ดีต้องทราบอีเมล์และเบอร์โทรศัพท์ของเหยื่อก่อน ซึ่งปัจจุบันนี้ข้อมูล 2 อันนี้หาได้ง่ายมากจาก Social Network ต่างๆ เช่น Facebook, LinkedIn หรือจากการสอบถามผู้อื่น จากนั้นผู้ไม่ประสงค์ดีจะระบุอีเมล์ของเหยื่อและใช้ฟีเจอร์ Password Recovery ที่ใช้สำหรับกรณีที่เจ้าของอีเมล์ลืมรหัสผ่านของตนเอง มาเป็นเครื่องมือในการแอบหลอกขโมยรหัสผ่าน

หลังจากที่เรียกใช้ฟีเจอร์ Password Recovery แล้ว ระบบอีเมล์จะทำการส่ง Verification Code ไปยังมือถือของเหยื่อตามเบอร์โทรศัพท์ที่ได้ลงทะเบียนไว้ ผู้ไม่ประสงค์ดีจะทำการส่งข้อความตามไปทันที ใจความประมาณว่า “Google has detected unusual activity on your account.