Microsoft opravil chybu v Hotmailu

29. 4. 2012

Sdílet

 Autor: © Yuri Arcurs - Fotolia.com
Společnost Microsoft o víkendu opravila chybu ve webovém rozhraní freemalu Hotmail, která útočníkům umožňovala „ukrást“ účet služeb Live.

Chyba v mechanismu obnovy hesla umožňovala neoprávněným osobám změnit heslo libovolného účtu služby Live, a tím jej v mnoha případech odcizit původnímu majiteli. Služba Live obsahuje další podpůrné nástroje na získání přístupu v případě ztráty hesla, nejsou ale povinné a řada uživatelů je proto nemá nastavené.

Pomocí přídavného modulu pro Firefox nazvaného Tamper Data mohl útočník podvrhnout během procesu obnovy hesla pozměněná data. Požadavek upravený na úrovni protokolu HTTP pak působil jako oprávněný a systém služby Live mu povolil změnu hesla provést.

Chybu odhalili začátkem dubna výzkumníci specializovaní na odhalování bezpečnostních rizik aplikací. Krátce nato informovali Microsoft. Podobné chyby se podle nepsaných pravidel zveřejňují až po vydání opravy, podrobnosti o této ale pronikly na veřejnost dříve, než stihl Microsoft zajistit nápravu. Začátkem tohoto týdne se začaly v různých fórech objevovat nabídky hackerů na průlom do účtu služby Live, a to už za 20 dolarů (necelých 400 korun).

Ve svém účtu na Twitteru věnovaném zabezpečení Microsoft oznámil, že opravu v systému Hotmail provedl během pátku a že uživatel nemusí nikde nic měnit. Služba funguje na principu klient-server, proto v tomto případě stačila oprava na straně serveru.

Microsoft nezveřejnil, kolik účtů mohlo být napadeno. Podle neoficiálních informací měla například skupina marockých hackerů v úmyslu získat 13 milionů účtů, kterým by pomocí této chyby změnila přístupové heslo.

Graham Cluley, odborný technický konzultant společnosti Sophos upozornil na to, že pokud mají uživatelé problémy s přihlášením k Hotmailu nebo kterékoli další části služeb Live, mohlo dojít k neoprávněné změně jejich hesla. „Hackeři se nechtějí zmocnit účtu k freemailu jen ze zvědavosti nebo aby si mohli přečíst spam,“ prohlásil Cluley. „Mají také zájem odcizit vaši identitu a zneužít takto získaný účet k průniku do dalších služeb a online účtů, které jeho prostřednictvím používáte,“ dodal.