Yahoo исправила серьезную уязвимость

Yahoo исправила серьезную уязвимость

Yahoo исправила серьезную уязвимость

Компания Yahoo исправила уязвимость в своем почтовом сервисе. Проблему обнаружил  сотрудник компании Vulnerability Lab Лоренс Эмер (Lawrence Amer), он заметил, что используя классическую версию почтового UI можно с легкостью подменить имя отправителя.

Пару лет назад, когда Марисса Майер заступила на пост руководителя компании, сервис Yahoo Mail претерпел существенные изменения. В частности, был серьезно переработан веб-интерфейс почты. Чтобы не шокировать пользователей радикальными переменами, новый интерфейс довольно долго сосуществовал со старой версий, а затем Yahoo представила так называемый Basic UI, который еще называют классическим. Это версия гораздо «легче» обычной, она куда менее перегружена JavaScript, сообщает xakep.ru.

Лоренс Эмер пишет, что модуль compose message («написать сообщение») в классической версии веб-интерфейса был уязвим перед простейшим POST/GET методом атак. По сути, любой желающий мог переключиться на Basic UI, открыть страницу в любом браузере, включить инструменты разработчика и отредактировать параметр [from address ‘send name ‘], вписав туда что угодно, к примеру, Yahoo Security. В итоге получатель письма увидит именно это имя в поле «от». Самое очевидное применение такой уязвимости – рассылка фишинговых писем, выглядящих весьма правдоподобно.

Уязвимость была обнаружена еще в октябре 2015 года. На исправление проблемы у Yahoo и Эмера, который помогал специалистам компании, ушло почти полгода – полностью баг устранили только 29 февраля 2016 года. Ниже можно увидеть proof-of-concept видео, снятое исследователем.

РЖД готовят продажу билетов через мессенджер МАКС

РЖД планируют уже в 2026 году запустить продажу билетов на пригородные поезда через чат-бот в МАКС на всей сети железных дорог России. Исключением станет только Московский транспортный узел — там действует отдельная система продаж.

Сейчас сервис проходит проверку в регионах. С марта 2026 года РЖД тестируют чат-бот на полигонах пригородных компаний в Новосибирской, Омской, Кемеровской областях, Алтайском и Красноярском краях. С 1 июля пилот расширили на Северо-Запад России.

В Западной Сибири через чат-бот уже оформили почти 380 тысяч билетов. В РЖД считают, что это подтверждает интерес пассажиров к новому способу покупки.

В холдинге отмечают, что перед запуском нужно проверить устойчивость сервиса, удобство интерфейса для разных категорий пассажиров и собрать обратную связь.

Проще говоря, РЖД хотят убедиться, что чат-бот не развалится под нагрузкой, не запутает пользователей и действительно будет удобен, а не превратится в очередной цифровой квест.

Если масштабирование пройдет по плану, пассажиры смогут покупать билеты на электрички прямо в МАКС без перехода в отдельные приложения или кассы. Для регионов это может стать заметным упрощением, особенно там, где пригородные поездки остаются ежедневной рутиной для тысяч людей.

Московский транспортный узел пока останется за скобками: из-за собственной системы продаж билеты через чат-бот в МАКС там запускать не планируют.

RSS: Новости на портале Anti-Malware.ru