Uma falha de segurança séria no serviço de email Hotmail da Microsoft foi descoberta no começo do mês e bastante explorada na semana passada. Ela permitia que uma pessoa com conhecimento da falha trocasse a senha de uma conta do Hotmail sem precisar sequer da senha original ou mesmo de responder as conhecidas perguntas de confirmação. Bastava uma extensão do Firefox e a vontade de violar a segurança de qualquer conta.
O jeito como essa vulnerabilidade era explorada era bem interessante. Ao colocar um endereço de email do Hotmail na página de login e clicar em “Esqueci minha senha”, o usuário recebe algumas opções para ganhar novamente o acesso à conta. Se ele escolher a alternativa “Envie-me um link de redefinição por email”, a página em questão fazia uma requisição HTTP com o que seria o email alternativo da conta em questão, para que o link fosse enviado a este endereço. Essa requisição HTTP, no entanto, poderia ser alterada com o Tamper Data (uma extensão do Firefox justamente com o fim de modificar dados de uma requisição HTTP) para enviar o link de redefinição de senha para outro email.
Veja um vídeo de demonstração da vulnerabilidade logo abaixo.
http://www.youtube.com/watch?v=OnP4VTXdOXw
(Vídeo no YouTube)
Dessa forma uma pessoa podia enviar o link para o seu próprio e-mail, redefinir a senha de uma conta qualquer e ganhar acesso a ela de forma bem simples. E se ela estivesse atrelada a outras contas de redes sociais, como Twitter e Facebook, essas contas também acabavam comprometidas. Como aponta o site Whitec0de.com, a vulnerabilidade já foi corrigida pela Microsoft, mas basta buscar por ” ثغرة الهوتميل 2012 ” no YouTube para ver diversos outros vídeos dela sendo explorada.
A descoberta da vulnerabilidade foi feita por um hacker árabe e eu imagino que devido à diferença dos idiomas tenha contribuído para impedir que ela se espalhasse muito. Mas um outro hacker acabou publicando essa vulnerabilidade em um fórum conhecido (e cobrando 20 dólares para roubar contas) e ela acabou sendo vastamente explorada. O site Microsoft Answers contém uma série de pessoas que foram atacadas e tiveram suas contas alteradas para o idioma árabe.
Nós entramos em contato com a Microsoft pedindo uma posição oficial da empresa sobre a vulnerabilidade, mas até o momento de publicação desse post não houve reposta.
Dica do meu amigo @khaled via Twitter. شكرا لك! (Obrigado!)
Assine pelo iTunes
Assine pelo Feed
Vamos ver, se nas matérias sobre as falhas do GMail os fans do Hotmail falaram um monte, aparentemente está será a hora do vingança. E que vingança.
Sério? Rolou fanboyismo de webmail aqui? Só faltava essa.
Eu também não vi isso, é só o que faltava, fanboyismo de email, mas acho que não é de email, é de empresas mesmo (Google x Microsoft)
Estranho é saber que existem fanboys do Hotmail.
Seja qual for o email, uma pessoa que briga pelo Gmail ou Yahoo!Mail não merece o chão que pisa.
Como alguém consegue ser fã de Hotmail?
Eu ADORO os produtos da Microsoft, mas Hotmail é um treco que não me desce.
E depois ainda quer me convencer que a Xbox LIVE não foi hackeada
“I’m at Hamburgueria do Sujinho (São Paulo, SP) w/ 2 others”
Seu amigo podia ter dado reply numa hora melhor hein.
Ele já tinha me avisado disso antes, mas essa reply foi a única com um link.
Vocês que leram meu comentario dizendo que gostava do e-mail com final @live.com podem me zoar agora… #MSFAIL #AGAIN
Como diria o seo Madruga “Tinha que ser o Hotmail de novo”
Essa é a única explicação pra terem hackeado meu email semana passada…
Antes o problema do Hotmail fosse essa ou aquela falha. O Hotmail é uma falha constante em si.
Eu outro dia disparei spam sem sequer ter acessado minha conta naqueles dias, e obviamente eu nunca abro ou clico em links, arquivos etc…
Adiantou? nada..
Pois é. Me forçaram a trocar de senha esses dias e eu nem sei porque ainda. Vai ver era isso aí.
Uma falha primária de implementação do recurso.
#fato
Aff devia ter descobrido esse bug tinha aproveitado….
Fodaaa
ثغرة الهوتميثغرة الهوتميثغرة الهوتميثغرة الهوتمي ثغرة الهوتمي ثغرة الهوتمي Bem engraçada essa parte
Ainda bem que ninguém se interessa pela minha conta, ela está intacta.
Hotmail sempre foi vulnerável, a pivetada aqui do bairro brinca e não é de hoje, de haquear orkut com hotmail e yahoo.
Porque o Gmail é junto com o Orkut numa só conta, não dá para criar uma conta no Orkut colocando o email do Gmail (que não seja integrado a conta), as pessoas criam Orkut “TiagoGabriel.gostosão@hotmail.com” sem nem existir o email, ai é sacanagem.
Ai a Vulnerabilidade é do Google mesmo
você está certo, mas em muitas dessas contas os e-mails existem sim, só que no hotmail as vezes é possível criar um e-mail igual ao de alguém (os chamados não confirmados) e usa-lo para sacanear com o orkut.
Não, se existe um email, não é possivel criar outro igual, é que as pessoas “invetam email” para o Orkut, quando alguem tem sorte que o email não existe, vão lá, e pau!
é dei mancada, mas enfim temos que reconhecer os erros, realmente é assim como você diz, inclusive meu sobrinho se ferrou por causa disso.
Pois é, não pode dar sopa, infelzimente espertinho é o que não falta.
Se a noticia já se propagou, certamente a Hotmail já tratou do assunto, no entanto tanto o GMAIL como a Hotmail, tem os seus Prós & Contras
Realmente, se tratando de informatica temos que ter em mente que ninguém está totalmente seguro, independente da empresa.
Essa Vulnerabilidade é seria. em 1998 tinha essa mesma Vulnerabilidade mas você colocava o e-mail na própria pagina do Hotmail no Explorer.
Eu não sou um usuário que pode ser chamado de leigo… mas tive a conta do hotmail roubada há 10 meses atrás…não duvido que essa falha seja bem antiga….e que tenha sido com ela que eu tenha sido “furtado”.
agora como vai se trocar a senha do hotmail