La falla permitía a los atacantes enviar correos electrónicos para estafar a víctimas desde direcciones de Yahoo que parecían ser auténticas. La compañía ya solucionó la vulnerabilidad en su servicio.

El error fue descubierto por el investigador independiente Lawrence Amer y publicado en el laboratorio de vulnerabilidades en Full Disclosure. El investigador de seguridad dio a conocer los detalles de la falla públicamente, diciendo que la vulnerabilidad afectó a la aplicación de correo web de Yahoo.

Los ciberatacantes son capaces de suplantar de forma remota los nombres de los remitentes de usuarios de correo electrónico de Yahoo a través de una vulnerabilidad encontrada dentro del módulo "redactar mensaje" del servicio Web. Una debilidad en el sistema permite a los usuarios inyectar o interceptar el tráfico en los parámetros de POST/GET, falsificando así la dirección de correo electrónico a cualquiera que sea el nombre del remitente que deseen.

Esta vulnerabilidad es un problema, ya que las direcciones de correo electrónico falsificadas a menudo se utilizan en campañas de phishing dirigido, las cuales envían correos electrónicos fraudulentos para efectos de robo de información o para engañar a las víctimas en la instalación de malware en sus sistemas. Si un usuario recibe un correo electrónico de una dirección de Yahoo falsa que parece legítimo, puede que este sea más propenso a caer en una campaña de este tipo.

El exploit se considera un problema de gravedad media y la vulnerabilidad ya se ha solucionado. Si desea, puede ver el video de la prueba de concepto del investigador.

A Yahoo se le informó de la falla en octubre del año pasado y los desarrolladores de la compañía Sunnyvale, California fueron capaces de crear un parche para corregir el problema a finales de febrero. Amer presentó la falla de seguridad de correo electrónico a través del programa de recompensas de errores de Yahoo, HackerOne; no se sabe cuánto ganó por su trabajo.