Milano – Nel celebre sito web di Yahoo! si celava una debolezza che avrebbe potuto essere utilizzata da malintenzionati per giocare brutti tiri ai visitatori.
Salvatore Aranzulla, scopritore della vulnerabilità, ne ha parlato con Punto Informatico spiegando che il problema, analogo a quello corretto pochi giorni fa dal rivale Google, consisteva nel fatto che la pagina web di Yahoo! relativa alla ricerca delle immagini non filtrava il testo in ingresso, dando quindi la possibilità ad un malintenzionato di “inserire nel codice della pagina codice HTML/Javascript” e generare così dei falsi messaggi.
“Sfruttando questo bug è possibile creare delle truffe on-line (phishing) ai danni dell’utente inesperto”, ha ulteriormente sottolineato Aranzulla in questo advisory .
Yahoo! Italia, avvertita del baco, ha ieri sera confermato a Punto Informatico attraverso un portavoce che i propri tecnici hanno risolto il problema.
La divisione italiana della celebre net-company ha anche trasmesso a PI una nota che pubblichiamo qui di seguito:
“Ringrazio Punto Informatico per la segnalazione del problema che è già stato risolto dopo poche ore dalla ricezione del vostro messaggio. Purtroppo non risulta invece essere arrivata alcuna segnalazione a Yahoo! Italia da parte dell’utente né al servizio costumer care , né telefonicamente. E’ sempre utile la collaborazione degli utenti per poter risolvere al più presto ogni difficoltà.
Yahoo! Italia è molto impegnata nella lotta contro il phishing come conferma il messaggio di avvertimento agli utenti on line da oltre una settimana.
Ecco il testo:
“Avviso importante
Yahoo! non invia mai ai propri utenti e-mail non sollecitate in cui chiede di verificare dati sensibili come ID, password o numero di carta di credito.
Qualsiasi comunicazione e-mail che sembri inviata da Yahoo! e richieda di verificare questi dati per motivi di sicurezza o simili non proviene da noi.
Invitiamo i nostri utenti a non rispondere a queste comunicazioni e-mail e, altresì, a non cliccare sui link riportati nel testo, ma a segnalarci queste indebite comunicazioni selezionando il box posto accanto alla stessa e cliccando sul tasto “Spam”.
Gli utenti potrebbero ricevere comunicazioni di posta elettronica sia da persone che credono di conoscere che da mittenti identificati con brand affidabili quali Yahoo!, e-bay o Citigroup. Purtroppo in tutti questi casi ci potremmo trovare di fronte a degli spammer che fanno phishing nella speranza che l’utente comunichi le proprie informazioni personali e/o quelle riguardanti il proprio account.
Yahoo! si sta impegnando nel potenziamento della tecnologia DomainKeys per risolvere questo problema di truffa e phishing via e-mail tra i i più frequenti tra i cyber-crimes.
DomainKeys sarà perfezionata sui sistemi Yahoo! entro la fine dell’anno. Colgo l’occasione per ricordare il link di consigli per assicurare una navigazione sicura:
antispam.yahoo.com .
Rosella Migliavacca
Direttore Comunicazione Yahoo! Italia”