Pericolul Insider de la Y! Messenger

Loki, un membru activ al forumului de securitate și hacking RST din România, a descoperit că Y! Insider de la Y! Messenger este extrem de periculos, fiind vulnerabil la atacuri de tip CSRF, potrivit portalului Worldit.info. Pentru cei nefamiliarizați cu Y! Insider, această fereastră se deschide de fiecare dată când ne autentificăm la contul de Y! Messenger, dacă nu cumva ați ales ca aceasta să rămână închisă, setare existentă în "Preferințele" Messenger-ului.
Conform analizei lui Loki, această fereastră are la dispoziție mai multe informații decât ne-am putea noi imagina, informații ce sunt returnate în format XML. Pentru a accesa diverse informații confidențiale, Yahoo se folosește de adresa http://insider.msg. yahoo.com/ycontent/?parametri, la sfârșitul căreia sunt completați diverși parametri pentru a returna informații. Prin intermediul Insider, pot fi accesate fără acordul utilizatorului atât Address Book-ul, cât și camera web.
Toate operațiile ce se bazează pe cererile Y! Insider pot fi executate printr-o tehnică CSRF (Cross-site request forgery). Această tehnică va putea accesa informațiile, trimițând un e-mail cu o imagine "falsă" țintei noastre, iar în momentul vizualizării lanțul de probleme ar începe.
Pentru a vă proteja împotriva unui eventual atac de acest gen, bifați opțiunea Spam > Block images > Initially block all images din setările contului de e-mail.