Grave fallo de seguridad en Hotmail permitía el robo de cuentas

Benjamin Kunz Mejri ha descubierto una manera de modificar la contraseña de cualquier cuenta de Hotmail y, por tanto, robarla de su usuario legítimo. Ha trabajado con el equipo de Microsoft para arreglar el fallo antes de hacerlo público, pero parece que algún atacante se le adelantó y, con otras intenciones, usó el fallo en su propio beneficio

Microsoft reveló esta semana que había “abordado una función de reinicio” en Hotmail que permitía a los hackers restablecer las contraseñas en el servicio de correo web. Vulnerabilidad restablecimiento de contraseña.

Los investigadores descubrieron el defecto el pasado 6 de abril, alertando a Microsoft del problema dos semanas después, el 20 de abril. Videos de YouTube muestran que algunos hackers estaban explotando la vulnerabilidad, describiendo el fallo de difusión como un incendio provocado por la hacking community.

Benjamín Kunz Mejri, investigador senior de Vulnerability-lab, identificó una vulnerabilidad de seguridad crítica en el servicio oficial de Microsoft MSN Hotmail (Live). Una vulnerabilidad crítica que fue hallada en la funcionalidad del restablecimiento de contraseña.

Presuntamente, los hackers utilizaron un add-on o complemento de Firefox para interceptar las peticiones HTTP y modificar los datos para eludir el Hotmail’s token-based password reset system.

Microsoft dijo haber fijado y arreglado el fallo del 20 de abril, pero la compañía no ha revelado cuántos de sus 300 millones de usuarios se vieron afectados por este problema temporal.

La naturaleza del ataque significa que los usuarios habituales de Hotmail podrían darse cuenta de que su contraseña ya no funciona, pero si no eres un usuario diario de Hotmail, entonces valdría la pena echarle un vistazo a tu cuenta para asegurarte de que nada ha cambiado o ha sido manipulado.

 Fuente