Vulnerabilidade no Hotmail permitia trocar senha de qualquer conta

Rafael Silva
Por

Uma falha de segurança séria no serviço de email Hotmail da Microsoft foi descoberta no começo do mês e bastante explorada na semana passada. Ela permitia que uma pessoa com conhecimento da falha trocasse a senha de uma conta do Hotmail sem precisar sequer da senha original ou mesmo de responder as conhecidas perguntas de confirmação. Bastava uma extensão do Firefox e a vontade de violar a segurança de qualquer conta.

O jeito como essa vulnerabilidade era explorada era bem interessante. Ao colocar um endereço de email do Hotmail na página de login e clicar em “Esqueci minha senha”, o usuário recebe algumas opções para ganhar novamente o acesso à conta. Se ele escolher a alternativa “Envie-me um link de redefinição por email”, a página em questão fazia uma requisição HTTP com o que seria o email alternativo da conta em questão, para que o link fosse enviado a este endereço. Essa requisição HTTP, no entanto, poderia ser alterada com o Tamper Data (uma extensão do Firefox justamente com o fim de modificar dados de uma requisição HTTP) para enviar o link de redefinição de senha para outro email.

Veja um vídeo de demonstração da vulnerabilidade logo abaixo.

http://www.youtube.com/watch?v=OnP4VTXdOXw
(Vídeo no YouTube)

Dessa forma uma pessoa podia enviar o link para o seu próprio e-mail, redefinir a senha de uma conta qualquer e ganhar acesso a ela de forma bem simples. E se ela estivesse atrelada a outras contas de redes sociais, como Twitter e Facebook, essas contas também acabavam comprometidas. Como aponta o site Whitec0de.com, a vulnerabilidade já foi corrigida pela Microsoft, mas basta buscar por ” ثغرة الهوتميل 2012 ” no YouTube para ver diversos outros vídeos dela sendo explorada.

A descoberta da vulnerabilidade foi feita por um hacker árabe e eu imagino que devido à diferença dos idiomas tenha contribuído para impedir que ela se espalhasse muito. Mas um outro hacker acabou publicando essa vulnerabilidade em um fórum conhecido (e cobrando 20 dólares para roubar contas) e ela acabou sendo vastamente explorada. O site Microsoft Answers contém uma série de pessoas que foram atacadas e tiveram suas contas alteradas para o idioma árabe.

Nós entramos em contato com a Microsoft pedindo uma posição oficial da empresa sobre a vulnerabilidade, mas até o momento de publicação desse post não houve reposta.

Dica do meu amigo @khaled via Twitter. شكرا لك! (Obrigado!)

Relacionados

Relacionados