Un representante de Yahoo confirmó que 3 de los servidores de la compañía fueron vulnerados por hackers mediante Shellshock, el bug de Bash que se consideró como un problema más grave que Heartbleed.
El analista de seguridad Jonathan Hall fue quien detectó el ataque y lo informó a Yahoo pero, al no recibir respuesta alguna, decidió publicar sus hallazgos en su sitio web con la esperanza de que la compañía reaccionara.
El plan de Hall funcionó, y recibió la respuesta de Yahoo agradeciendo su aviso, mientras que el representante comunicó lo siguiente:
Tan pronto como nos percatamos [de Shellshock], comenzamos a parchar nuestros sistemas y hemos estado monitoreando cuidadosamente nuestra red. Aislamos un puñado de nuestros servidores afectados, y en este momento no hay evidencia de que los datos de los usuarios estén en peligro. Nos enfocamos en proveer la experiencia más segura posible para nuestros usuarios a nivel mundial y trabajamos continuamente para proteger la información de nuestros usuarios.
En su post, Hall también menciona que detectó otros ataques similares a Lycos y WinZip, aunque aún no ha recibido respuesta de estas compañías.
Shellshock es un bug de Bash (Bourne Again Shell) que permite la ejecución remota de código malicioso a través de una variable que se ejecuta cuando Bash es invocado, dando oportunidad al atacante de tomar el control de un sistema. La gravedad de la vulnerabilidad también consistía en la cantidad de equipos que se veían afectados por ella, entre ellos los sistemas Mac OS X, Linux y UNIX. El problema fue solucionado, por lo que se recomienda ampliamente actualizar Bash a la versión más reciente.
