黑客一键即可窃取部落网络邮件收件箱中的内容

 
安全研究人员在流行的开源Horde网络电子邮件软件中发现了多个漏洞，这些漏洞使黑客能够几乎看不见地窃取受害者收件箱中的内容。
部落是可用的最受欢迎的免费和开源Web电子邮件系统之一。它由一个核心开发人员团队构建和维护，并得到了更广泛的开源社区的贡献。大学，图书馆和许多网络托管提供商将其用作默认电子邮件客户端。
Numan Ozdemir在5月向Horde透露了他的漏洞。攻击者可以诱骗受害者单击电子邮件中的恶意链接，从而抓取并下载受害者的整个收件箱。
点击后，收件箱即被下载到攻击者的服务器上。
但是研究人员没有听到部落团体的回音。安全研究人员通常会给组织三个月的时间来修复漏洞，然后再将其公开披露。
维护国家漏洞数据库的政府部门NIST本周表示，这些漏洞对用户构成了“高度”安全风险。
Ozdemir说，最近(最新的Horde网络邮件版本)已修复了部分(但不是全部)漏洞。但是，部落社区尚未公开承认该漏洞-或早期版本的Webmail用户仍然容易受到攻击。
他告诉TechCrunch：“窃取人们的电子邮件确实非常容易，”
在撰写本文时，他向部落提交的错误报告仍处于打开状态。我们曾多次向Horde发送电子邮件，但直到发布后才回音。该项目的核心开发人员扬·施耐德(Jan Schneider)说，这些漏洞“在报告时确实已得到修复，不会得到修复，甚至不再存在。”