• De afgelopen dagen zijn er meerdere fora waarop bestaande accounts worden overgenomen door spammers. De gebruikersnamen en wachtwoorden zijn via een hack of een lek via andere sites buitgemaakt. Via have i been pwned? kan je controleren of jouw gegeven ook zijn buitgemaakt. Wijzig bij twijfel jouw wachtwoord of schakel de twee-staps-verificatie in.

#mld-->16-jarige Nederlander vindt beveiligingslek in Hotmail

Status
Niet open voor verdere reacties.

*Kingpin*

Lid
Lid geworden
23 jan 2004
Berichten
89.558
Waarderingsscore
229
dinsdag 04 juli 2006
-----------------------

16-jarige Nederlander vindt beveiligingslek in Hotmail


Het is vrij eenvoudig om Hotmail accounts te kraken, zo waarschuwt de 16-jarige Adriaan Graas. De Nederlandse tiener vond onlangs een beveiligingslek in de populaire e-maildienst van Microsoft. Door het hack is iedere kwaadwillende hotmail gebruiker in staat een andere hotmail account te hacken. Graas heeft over de hack een security advisory en how-to geschreven.

Het hacken van hotmail bestaat uit het injecteren van een stuk code in de URL van de pagina. Er kan een link gemaakt worden naar deze pagina met geinjecterde code. Een ingelogde hotmail gebruiker stuurt door de geinjecteerde code zijn logincookie - het bestand waar door hotmail wordt bijgehouden of de gebruiker is ingelogd - naar de computer van de aanvaller. Deze kan dan de cookie informatie gebruiken om zelf in te loggen op het account van het slachtoffer. Daarbij kan hij alle handelingen uitvoeren die de normale hotmail gebruiker ook zou kunnen doen.

Volgens Graas verricht Microsoft geen volledig werk, want soortgelijke beveiligingslekken zijn de afgelopen jaren een aantal keer ontdekt. De tiener is ervan overtuigd dat er ook meer zullen volgen. Het duurde hem vijf uur om drie lekken te vinden, waavan twee bruikbaar. Het zou zelfs mogelijk zijn om de gemiddelde computergebruiker in minder dan een week aan te leren hoe hij hetzelfde zou kunnen ontdekken en uitvoeren.

Graas heeft het cross-site scripting lek op 27 juni aan Microsoft gerapporteerd en is nog steeds aanwezig. De pagina met de how-to is op het moment van schrijven niet bereikbaar.

*Update 11:20*
De Hotmail exploit is op deze pagina te vinden.


Hieronder de enige reactie die Graas tot zover van Microsoft heeft ontvangen:

Hi Adriaan,

Thanks very much for your report. I have opened case 6678 and the case manager, Scott, will be in touch when there is more information. In the meantime, we ask you respect responsible disclosure guidelines and not report this publicly until users have an opportunity to protect themselves (as you have mentioned). You can review our bulletin
acknowledgment policy at http://www.microsoft.com/technet/security/bulletin/policy.mspx and our general policies and practices at http://www.microsoft.com/technet/security/bulletin/info/msrpracs.mspx.
If at any time you have questions or more information, please respond to this message
.



***************
BRON: security.nl
***************
 
Status
Niet open voor verdere reacties.
Steun Ons

Nieuwste berichten

Terug
Bovenaan