雅虎！为发现安全漏洞向黑客支付24000美元

$24,000感谢一位安全研究人员发现并报告其产品中的三个关键安全漏洞，包括雅虎！商店和雅虎-托管网站。

在测试公司的所有应用程序时，马克·利奇菲尔德这位臭虫赏金猎人经常与不同的公司合作，他在雅虎发现了三个关键漏洞s的产品。这三个漏洞现在都已被雅虎修复！。

三个关键的安全漏洞

第一个也是最关键的漏洞使黑客能够完全访问雅虎中国的电子商务平台，雅虎！小企业，一个允许小企业主通过雅虎创建自己网店的门户网站！销售商品。

据研究人员称，该服务的缺陷使他能够完全管理任何雅虎商店，从而获得客户的个人身份信息，包括姓名、电子邮件地址、电话号码。

BUG允许免费购物

Litchfield称，除了允许黑客对网络商店进行完全的管理员访问外，该漏洞还可能利用攻击者操纵用户运行的电子商务网络商店，让他们免费购物或以巨大的折扣购物。

雅虎中一个独立但相关的漏洞！Stores是Litchfield发现的第二个漏洞，允许未经授权的用户进行编辑雅虎托管的商店通过该应用程序，从而为黑客劫持在线网站商店创造了一种手段。

最后但并非最不重要的一点是，利奇菲尔德在雅虎的小企业门户网站上发现了一个严重漏洞，黑客可以利用该漏洞获取对雅虎的管理访问权限雅虎-托管网站并获得未经授权的完整访问权限。

两周前，利奇菲尔德公开发布了这三个漏洞的详细信息和概念证明后，这家互联网巨头修补了所有这三个漏洞臭虫赏金总部利奇菲尔德上个月建立了一个臭虫奖励网站社区，供其他猎人分享他们的发现。

“按需密码”
在最近的SXSW会议上，雅虎！发射'按需密码“它说，这将消除你永远记住你的电子邮件密码的需要。无论何时你需要它，公司都会通过短信向你的手机发送OTP（一次性密码）。

这是一种双重认证—；不涉及第一个因素，因为用户无需输入任何登录密码。要选择该功能，请执行以下简单步骤：

1. 登录你的雅虎电子邮件帐户。
2. 点击右上角你的名字进入你的账户信息页面。
3. 在侧边栏中选择安全性。
4. 点击按需密码滑块，选择加入。
5. 输入你的电话号码，雅虎将向你发送验证码。
6. 输入代码。

现在，下次当你登录你的电子邮件帐户时，雅虎会在你需要时通过短信向你的手机发送密码。

此外，端到端的电子邮件加密，雅虎！承诺将很快在今年年底提供。该公司在SXSW会议上首次演示了锁定消息系统，并提供了早期源代码供安全研究人员分析。