Grave fallo de seguridad en Hotmail permitía el robo de cuentas

Benjamin Kunz Mejri ha descubierto una manera de modificar la contraseña de cualquier cuenta de Hotmail y, por tanto, robarla de su usuario legítimo. Ha trabajado con el equipo de Microsoft para arreglar el fallo antes de hacerlo público, pero parece que algún atacante se le adelantó y, con otras intenciones, usó el fallo en su propio beneficio

Microsoft reveló esta semana que había “abordado una función de reinicio” en Hotmail que permitía a los hackers restablecer las contraseñas en el servicio de correo web. Vulnerabilidad restablecimiento de contraseña.

Los investigadores descubrieron el defecto el pasado 6 de abril, alertando a Microsoft del problema dos semanas después, el 20 de abril. Videos de YouTube muestran que algunos hackers estaban explotando la vulnerabilidad, describiendo el fallo de difusión como un incendio provocado por la hacking community.

Benjamín Kunz Mejri, investigador senior de Vulnerability-lab, identificó una vulnerabilidad de seguridad crítica en el servicio oficial de Microsoft MSN Hotmail (Live). Una vulnerabilidad crítica que fue hallada en la funcionalidad del restablecimiento de contraseña.

Presuntamente, los hackers utilizaron un add-on o complemento de Firefox para interceptar las peticiones HTTP y modificar los datos para eludir el Hotmail’s token-based password reset system.

Microsoft dijo haber fijado y arreglado el fallo del 20 de abril, pero la compañía no ha revelado cuántos de sus 300 millones de usuarios se vieron afectados por este problema temporal.

La naturaleza del ataque significa que los usuarios habituales de Hotmail podrían darse cuenta de que su contraseña ya no funciona, pero si no eres un usuario diario de Hotmail, entonces valdría la pena echarle un vistazo a tu cuenta para asegurarte de que nada ha cambiado o ha sido manipulado.

 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies