Alle Hotmail-accounts te kapen met Firefox add-on
Een onbekend aantal Hotmail-accounts is gekaapt omdat kwaadwillenden eenvoudig het wachtwoord konden resetten van elk willekeurig account. Microsoft heeft het gat gedicht.
Hackers hebben wekenlang accounts van Hotmail-gebruikers kunnen kapen omdat het systeem om een nieuw wachtwoord in te stellen lek was. Het is onbekend hoeveel accounts zijn gecompromitteerd, maar de kaapmethode zou zich 'als een lopend vuurtje' over verschillende hackfora, vooral Arabische, hebben verspreid.
Token manipuleren
Het probleem zat in de wachtwoord reset module van Hotmail. Als iemand zijn wachtwoord vergeten is, stuurt Microsoft een link naar een ander mailaccount. Deze link bevat een unieke cijferreeks, een token, maar die kan met de Firefox add-on Tamper Data worden gemanipuleerd. Het Hotmail-systeem accepteerde de gemanipuleerde tokens en zo kon iedereen die de truc kende Hotmail-accounts overnemen, meldt Ars Technica.
Gat wekenlang open
Toen de hack eenmaal bekend was is die door talloze hackers en scriptkiddies misbruikt. Vooral Hotmail-accounts met hele korte gebruikersnaam van 2 of 3 letters zijn het slachtoffer geworden, omdat die eenvoudig waren te raden of te brute forcen. De hack was al op 6 april bekend, Microsoft werd op 20 april op de hoogte gesteld en heeft het gat binnen enkele uren gedicht.
Bron: Webwereld.nl