Специалисты по сетевой безопасности обнаружили очередную серьезную системную уязвимость в популярной почтовой службе Hotmail. Используя ошибку, о которой сообщил небезызвестный специалист по компьютерной безопасности Адриан Ламо (Adrian Lamo), хакер может легко поменять пароль к любому ящику. В результате каждый пользователь Hotmail имеет шанс в один «прекрасный» день обнаружить, что больше не имеет доступа к собственному почтовому ящику.
• обсудить
• переслать
• распечатать
Проблема заключается в том, что пароль для доступа к почте Hotmail является одновременно и паролем для входа в другие сервисы Microsoft, в частности, в службы платформы .NET. Следовательно, хакер, взломавший чужой пароль Hotmail, может получить значительно больше, чем просто бесплатный почтовый ящик.
Как правило, пользователю, забывшему свой пароль, предлагается заполнить форму, в которой он повторно указывает адрес электронной почты, штат или страну, в которой он проживает, и почтовый индекс. Если ответы совпадают с тем, что он вводил при регистрации нового почтового ящика, то ему предлагается ответить на какой-нибудь «секретный вопрос», типа «Как зовут мою собаку?». Как выяснилось, любой пользователь, который в состоянии вызвать текст HTML-источника страницы, увидит там «скрытое» поле. Если его заполнить нужным логином, записать HTML-текст этой формы в виде отдельного HTML-файла и запустить через браузер, то на экран выводится тот самый «секретный вопрос».
Уязвимость была обнаружена примерно две недели назад, и, по некоторым сведениям, все это время небольшая группа хакеров терпеливо проверяла длинный список интересующих их логинов на предмет простых «секретных вопросов».
Представители Microsoft утверждают, что никаких проблем с проверкой паролей в их службе никогда (?) не было, и отмечают, что сложность и качество «секретных вопросов» всегда остается на совести пользователей. Специалисты по компьютерной безопасности недоумевают, каким образом такие критически важные для аутентификации пользователя фрагменты программы оказываются доступны практически всем желающим в виде незашифрованного текста. Мы же, в свою очередь, удивимся тому факту, что насквозь «дырявым», десятки раз дискредитировавшим себя сервисом продолжает пользоваться большое число интернетчиков.