Etický hacker Marek Tóth zveřejnil blog popisující krádež session na Seznamu. Navazuje na jeho předchozí pokus z roku 2020. Tentokrát se mu podařilo získat přístup do cizích e-mailových schránek.
“Stačilo pouze to, abyste používali stránky Seznamu. Další varianta zneužití mohla nastat, když jste byli přihlášeni a otevřeli libovolný odkaz, ve kterém byl můj script. Žádná další interakce od vás (např. zadávání údajů) nebyla nutná,” shrnul Tóth.
“Kromě běžného přístupu bylo možné získat tzv. Persistent Email Access, tedy neomezený přístup do e-mailové schránky. Mohli jste si sice změnit své heslo, změnit telefonní číslo pro 2FA, změnit doslova celé zařízení, ale i tak jsem měl k vašemu e-mailu stále přístup.”
Seznam.cz chyby po nahlášení do dvou dnů opravil, dodává Tóth. Celé vyprávění je kromě blogu dostupné jako video: