Saturday , September 23 2017
Home / Vulnerability / Yahoo! Berikan $24,000 Bagi Pemenu Bug Keamanan

Yahoo! Berikan $24,000 Bagi Pemenu Bug Keamanan

yahoo! bug bounty

Yahoo! telah menawarkan $ 24.000 untuk seorang peneliti keamanan yang mencari tahu dan melaporkan tiga vulnerability keamanan penting dalam produk-produknya termasuk Yahoo! Stores dan Yahoo!-hosted Website.

Sementara penguji semua aplikasi perusahaan, Mark Litchfield, pemburu hadiah bug yang sering bekerja dengan perusahaan yang berbeda, menemukan tiga vulnerability kritis dalam produk Yahoo!. ketiga vulnerability kini telah ditetapkan oleh Yahoo!.

Tiga Vulnerability Keamanan Penting

Yang pertama dan merupakan vulnerability paling kritis dapat memberikan hacker akses administrator penuh untuk platform e-commerce Yahoo!’S, Yahoo! Small Business, sebuah portal yang memungkinkan pemilik usaha kecil untuk membuat toko online mereka sendiri melalui Yahoo! dan menjual barang dagangan.

Menurut peneliti, cacat dalam layanan ini memungkinkan penyerang cyber untuk sepenuhnya mendapatkan akses administrator Yahoo stores, dengan demikian hacker mendapatkan akses informasi pribadi pelanggan, termasuk nama, alamat email, nomor telepon.

Bug Memungkinkan Belanja Gratis

Selain memungkinkan hacker mendapatkan akses admin toko online atau web store, vulnerability juga bisa dimanfaatkan penyerang untuk menjalankan user eCommerce web store dan membiarkan mereka berbelanja secara gratis, atau diskon besar, kata Litchfield.

“Kami juga bisa berbelanja secara gratis dengan mengubah harga, atau membuat kode diskon kita sendiri,” kata Litchfield dalam email menggambarkan serangan itu. “Juga, kita bisa memesan, kemudian setelah diterima, pergi dan mengembalikan uang kita.”

Sebuah vulnerability terpisah namun masih berhubungan di Yahoo! Stores, cacat kedua ditemukan oleh Litchfield, memungkinkan pengguna yang tidak sah untuk mengedit Yahoo-hosted stores melalui aplikasi, sehingga menciptakan sarana bagi hacker untuk membajak sebuah website toko online.

Dan yang terakhir, Litchfield menemukan vulnerability kritis di Yahoo Small Business portal yang memungkinkan hacker untuk merebut akses administratif Yahoo! Website-hosted dan mendapatkan akses tidak sah.

Situs raksasa ini telah menambal ketiga bug itu pada dua pekan lalu setelah Litchfield merilis rincian dan bukti konsep untuk eksploitasi pada Bug Bounty HQ, sebuah komunitas untuk website Bounty Bug, yang didirikan oleh Litchfield bulan lalu untuk berbagi temuan mereka sesama pemburu hadiah.

On Demand Password

Pada sesi SXSW baru-baru ini, Yahoo! meluncurkan on-demand password, Setiap kali Anda membutuhkan password email, pihak yahoo akan mengirimkan OTP (one time password) melalui SMS ke ponsel Anda.

Ini semacam otentikasi dua faktor tanpa faktor pertama yang terlibat, karena tidak ada kebutuhan dari setiap log-in password untuk masuk oleh pengguna. untuk menggunakan fitur opt-in ikuti beberapa langkah sederhana berikut:

  • Masuk ke akun email Yahoo Anda.
  • Klik pada nama Anda di pojok kanan atas untuk mengakses halaman informasi account Anda.
  • Pilih Keamanan di sidebar.
  • Klik pada slider untuk password on-demand, untuk opt-in.
  • Masukkan nomor telepon Anda dan Yahoo akan mengirimkan kode verifikasi.
  • Masukkan kode.

Sekarang, waktu berikutnya setiap kali Anda akan masuk ke dalam akun email Anda, Yahoo akan mengirimkan password melalui SMS ke ponsel Anda ketika Anda membutuhkannya.

Yahoo! Juga berjanji akan segera menambahkan fitur enkripsi email end-to-end pada akhir tahun ini.

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You might also likeclose
Free WordPress Themes - Download High-quality Templates