X

Busque em mais de 20.000 artigos de nosso acervo.

Novidades pela net

Vulnerabilidade no Hotmail permitia trocar senha de qualquer conta


Uma falha de segurança séria no serviço de email Hotmail da Microsoft foi descoberta no começo do mês e bastante explorada na semana passada. Ela permitia que uma pessoa com conhecimento da falha trocasse a senha de uma conta do Hotmail sem precisar sequer da senha original ou mesmo de responder as conhecidas perguntas de confirmação. Bastava uma extensão do Firefox e a vontade de violar a segurança de qualquer conta.

O jeito como essa vulnerabilidade era explorada era bem interessante. Ao colocar um endereço de email do Hotmail na página de login e clicar em “Esqueci minha senha”, o usuário recebe algumas opções para ganhar novamente o acesso à conta. Se ele escolher a alternativa “Envie-me um link de redefinição por email”, a página em questão fazia uma requisição HTTP com o que seria o email alternativo da conta em questão, para que o link fosse enviado a este endereço. Essa requisição HTTP, no entanto, poderia ser alterada com o Tamper Data (uma extensão do Firefox justamente com o fim de modificar dados de uma requisição HTTP) para enviar o link de redefinição de senha para outro email.

Veja um vídeo de demonstração da vulnerabilidade logo abaixo.

(Vídeo no YouTube)

Dessa forma uma pessoa podia enviar o link para o seu próprio e-mail, redefinir a senha de uma conta qualquer e ganhar acesso a ela de forma bem simples. E se ela estivesse atrelada a outras contas de redes sociais, como Twitter e Facebook, essas contas também acabavam comprometidas. Como aponta o site Whitec0de.com, a vulnerabilidade já foi corrigida pela Microsoft, mas basta buscar por ” ثغرة الهوتميل 2012 ” no YouTube para ver diversos outros vídeos dela sendo explorada.

A descoberta da vulnerabilidade foi feita por um hacker árabe e eu imagino que devido à diferença dos idiomas tenha contribuído para impedir que ela se espalhasse muito. Mas um outro hacker acabou publicando essa vulnerabilidade em um fórum conhecido (e cobrando 20 dólares para roubar contas) e ela acabou sendo vastamente explorada. O site Microsoft Answers contém uma série de pessoas que foram atacadas e tiveram suas contas alteradas para o idioma árabe.

Nós entramos em contato com a Microsoft pedindo uma posição oficial da empresa sobre a vulnerabilidade, mas até o momento de publicação desse post não houve reposta.

Dica do meu amigo @khaled via Twitter. شكرا لك! (Obrigado!)

Vulnerabilidade no Hotmail permitia trocar senha de qualquer conta

beb JDbpUGPVg

Via RSS de Tecnoblog

Leia em Tecnoblog

Comente este artigo

Populares

Topo
http://enterslots.epizy.com/ http://cair138.epizy.com/ http://sido247.epizy.com/ http://omega89.epizy.com/ http://merdeka138.epizy.com/ 7meter slot 7winbet abcslot https://obor138.web.fc2.com/ https://monsterbola.web.fc2.com/ https://daget77slot.web.fc2.com/ star77 138 slot istana77 mega138 cuan138 nuke gaming slot grandbet infini88 pg slot baccarat casino idn live idn poker sbobet tangkas88 slot sbobet88 slot deposit dana joker123 autowin88 zeus138 dewagg roma77 77lucks bos88 ligadewa sonic77 168 slot