Skip to content

«Дыра» в почтовой службе Hotmail позволяет хакерам менять пароли пользователей.

2 мин.

Опубликованно: 13 февраля 2002

Промышленные новости

Специалисты по сетевой безопасности обнаружили очередную серьезную системную уязвимость в популярной почтовой службе Hotmail. Используя ошибку, о которой сообщил небезызвестный специалист по компьютерной безопасности Адриан Ламо (Adrian Lamo), хакер может легко поменять пароль к любому ящику. В результате каждый пользователь Hotmail имеет шанс в один «прекрасный» день обнаружить, что больше не имеет доступа к собственному почтовому ящику.

• обсудить
• переслать
• распечатать

Проблема заключается в том, что пароль для доступа к почте Hotmail является одновременно и паролем для входа в другие сервисы Microsoft, в частности, в службы платформы .NET. Следовательно, хакер, взломавший чужой пароль Hotmail, может получить значительно больше, чем просто бесплатный почтовый ящик.

Как правило, пользователю, забывшему свой пароль, предлагается заполнить форму, в которой он повторно указывает адрес электронной почты, штат или страну, в которой он проживает, и почтовый индекс. Если ответы совпадают с тем, что он вводил при регистрации нового почтового ящика, то ему предлагается ответить на какой-нибудь «секретный вопрос», типа «Как зовут мою собаку?». Как выяснилось, любой пользователь, который в состоянии вызвать текст HTML-источника страницы, увидит там «скрытое» поле. Если его заполнить нужным логином, записать HTML-текст этой формы в виде отдельного HTML-файла и запустить через браузер, то на экран выводится тот самый «секретный вопрос».

Уязвимость была обнаружена примерно две недели назад, и, по некоторым сведениям, все это время небольшая группа хакеров терпеливо проверяла длинный список интересующих их логинов на предмет простых «секретных вопросов».

Представители Microsoft утверждают, что никаких проблем с проверкой паролей в их службе никогда (?) не было, и отмечают, что сложность и качество «секретных вопросов» всегда остается на совести пользователей. Специалисты по компьютерной безопасности недоумевают, каким образом такие критически важные для аутентификации пользователя фрагменты программы оказываются доступны практически всем желающим в виде незашифрованного текста. Мы же, в свою очередь, удивимся тому факту, что насквозь «дырявым», десятки раз дискредитировавшим себя сервисом продолжает пользоваться большое число интернетчиков.

Наверх

Мероприятие

с 1 февраля, 2023 по 7 февраля, 2023


Время начала - 09:00
Время завершения - 18:00

Индийская международная конференция по переработке материалов IMRC2023 Даты: 1-7 февраля 2023 Ассоциация НСРО РУСЛОМ.КОM совместно с Рейтинговым агентством Русмет организует бизнес-миссию в Индию, города Кочин и Мумбаи с участием в конференции.

Подробнее ...