Yahoo kullanıcıları, parolaya gerek kalmadan, cookie'lerle oturum açmaya izin veren bir açığı dün keşfettiler. Firma, kullanıcılarına gönderdiği epostada "2015 ve 2016'da hesaba ulaşmak üzere sahte cookie'lerin kullanılmış olabileceğini" söyledi.
Yahoo, saldırıyla ilgili bilgiyi Aralık'ta paylaşsa da bu duyuru, biraz gözden kaçtı. Bunun nedeni, firmanın bu sırada bir başka güvenlik açığıyla ilgili duyuru yapmış olması (2013'te gerçekleşen, 1 milyar Yahoo hesabının bilgilerinin hacker'ların eline geçtiği saldırı). Dünyanın kayıtlı en büyük veri sızıntılarından biri yaşanırken sitedeki cookie açığı, endişe verici olmasına rağmen fark edilmedi.
Cookie saldırısı şöyle çalışıyor. Hacker'lar, parolanızı çalmak yerine web tarayıcınıza zaten oturum açtığınızı söylüyorlar. Hacker'lar bunun için cookie denilen web tarayıcıları tarafından kullanılan küçük anahtar dosyalarına ihtiyaç duyuyorlar. Cookie'ler normalde bir web sitesine oturum açtığınızı ve "Beni hatırla" kutucuğunu işaretlediğinizi sitelere hatırlatmakta kullanılıyor.
Yahoo, saldırı sonucunda hacker'lar tarafından erişildiği tespit edilen hesapların sahiplerine bir uyarı göndermiş bulunuyor. Firma, izinsiz girişleri mümkün kılan cookie'lerin geçerliliğini iptal ettiğini söylüyor. Bununla birlikte firma, uyarıları neden hack'in duyurulmasının 2 ay sonrasında yaptığını açıklamıyor.