Yahoo stopt met het gebruik van ImageMagick door nieuw datalek

Abonneer je gratis op Techzine!

Technologiebedrijf Yahoo stopt met het gebruik van het open source PHP-framework ImageMagick, nadat een onderzoeker demonstreerde hoe hij gemakkelijk data van andere gebruikers kon bekijken. De bug werd gemeld via het “Bug Bounty programma” van Yahoo.

In een blogpost demonstreert cybersecurity specialist Chris Evans hoe hij het datalek ontdekte door zichzelf een bestand van 18 byte te e-mailen via Yahoo Mail. Door dit bestand vervolgens te openen in het “preview”-scherm van Yahoo in een internetbrowser, kon hij gemakkelijk een aanpassing maken waarmee e-mailbijlagen van andere gebruikers zichtbaar werden. Direct na het vinden en mededelen van de bug bij Yahoo, heeft hij via een Gitlab een simpele oplossing voor het ontstane lek gemeld. Yahoo heeft vervolgens binnen 90 dagen het lek weten te repareren en ervoor gekozen om te stoppen met de ImageMagick software. Waarschijnlijk is deze fout niet eerder opgevallen, omdat Yahoo geen gebruikt maakte van IP whitelisting. Ook zorgde het datalek niet voor een enorme belasting op de servers waarop de bijlagen gehost worden.

Hij heeft dit datalek toepasselijk de naam Yahoobleed #1 (YB1) gegeven, aangezien hij nog meer zwakheden in de software gaat proberen te ontdekken de komende periode. Voor Yahoo is de schade gelukkig beperkt gebleven, vergeleken met een eerder datalek waarbij gegevens van 500 miljoen en 1 miljard gebruikers op straat kwamen te liggen. In ruil voor zijn alertheid is Evans dan ook rijkelijk beloond voor het vinden van het datalek in het ImageMagick framework. Zo kreeg hij maar liefst 14,000 dollar uitbetaald door Yahoo. Dit komt neer op een beloning van bijna 778 dollar per byte. Hij heeft besloten om het bedrag te doneren aan een goed doel. Iets dat voor positieve reacties zorgde bij het bedrijf, aangezien zij het bedrag zullen verdubbelen zodra hij de bestemming van zijn donatie bekendmaakt.