Secondo Graham Cluley, uno dei maggiori esperti di Sophos, Yahoo farebbe di tutto per crearsi problemi da sola. Anziché seguire l’esempio dei principali rivali, la società dal fulgido passato si starebbe avvitando su se stessa.
Cluley aveva aspramente criticato la decisione di Yahoo di rendere nuovamente disponibili per la registrazione e l’utilizzo da parte di nuovi utenti quegli account che da tempo appaiono inutilizzati (Yahoo ricicla gli indirizzi e-mail inutilizzati). Il ricercatore ha parlato di grossi rischi con alcuni utenti che possono così incosapevolmente trovarsi a subire pericolosi “furti d’identità”.
L’esperto di Sophos ha poi stigmatizzato il comportamento di Yahoo che offrirebbe un misero premio di 12 dollari e 50 centesimi da spendersi per l’acquisto di una t-shirt sul negozio virtuale dell’azienda a coloro che scoprono delle problematiche di sicurezza.
“I ricercatori di High-Tech Bridge hanno recentemente segnalato alcune vulnerabilità XSS (per sapere di che cosa si tratta, suggeriamo la lettura dell’articolo Vulnerabilità XSS: scopriamo perché sono pericolose, n.d.r.) sui domini ecom.yahoo.com ed adserver.yahoo.com“, spiega Cluley. “Ciascuna vulnerabilità, se sfruttata da parte di malintenzionati, avrebbe potuto portare alla compromissione di qualunque account @yahoo.com. Per cadere nella trappola, la vittima avrebbe dovuto solamente fare clic su un link presente nel messaggio di posta ricevuto nella sua casella e-mail“.
Come premio per il lavoro svolto, Yahoo avrebbe offerto solo 12,50 dollari per ciascuna vulnerabilità segnalata. Cluley ha voluto quindi pubblicamente criticare un modus operandi che non favorirebbe la segnalazione privata, in modo responsabile, delle lacune di sicurezza eventualmente scoperte. Una politica che, inevitalmente, non può essere capace di attrarre l’interesse dei ricercatori in materia di sicurezza.
Yahoo, nel frattempo, ha provveduto a sistemare le varie vulnerabilità XSS rinvenute dal team di High-Tech Bridge.