"TheHell" menjual metode ini dengan harga yang cukup tinggi, yaitu 700 dollar AS atau sekitar 6,6 juta rupiah. Untuk membajak akun korban, metode ini memanfaatkan sebuah "celah" keamanan yang ditemukan oleh si peretas tersebut.
Metode ini memberi akses kepada seseorang (si pembeli) untuk mengirimkan email palsu yang berisi link berbahaya di dalamnya. Apabila korban yang dituju, mengklik link tersebut sang peretas berkesempatan mencuri dan menggantikan tracking cookies yang ada.
Tracking cookies merupakan cookies yang digunakan untuk merekam data yang dimasukkan oleh pengguna. Tracking cookies tersebutlah yang dapat digunakan untuk mengambil alih akun e-mail Yahoo korban.
"Setelah si korban mengklik link, dia akan dibawa kembali ke halaman e-mail. Dan Anda bisa membawa dia ke manapun yang diinginkan," tulis peretas tersebut dalam sebuah video demonstrasi dari metode tersebut, seperti dikutip dari Mashable, Rabu (28/11/2012).
Kemungkinan besar, metode yang sedang dipasarkan oleh TheHell tersebut berbasiskan scripting Cross-site (XSS). XSS merupakan celah keamanan komputer yang biasanya ditemukan di aplikasi web. XSS mengizinkan menggunanya untuk memasukkan sebuah script ke halaman situs yang sedang dilihat oleh pengguna.
Yahoo sendiri telah mengetahui adanya ancaman tersebut. Yahoo mengakui, sebenarnya cukup mudah untuk memperbaiki sebuah celah keamanan yang muncul di sistemnya. Namun sayangnya, untuk menemukan celah yang ditemukan oleh TheHell, diperlukan waktu yang cukup lama.
TheHell pun mengungkapkan kalau ia tidak akan sembarangan dalam menjual metode ini. Ia hanya akan menjualnya kepada pihak yang telah dikenal. TheHell beralasan, ia tidak ingin Yahoo dapat segera memperbaiki celah tersebut.
Tidak ada komentar:
Posting Komentar