Grave fallo de seguridad en Hotmail permitía el robo de cuentas
Benjamin Kunz Mejri ha descubierto una manera de modificar la contraseña de cualquier cuenta de Hotmail y, por tanto, robarla de su usuario legítimo. Ha trabajado con el equipo de Microsoft para arreglar el fallo antes de hacerlo público, pero parece que algún atacante se le adelantó y, con otras intenciones, usó el fallo en su propio beneficio. Repasamos algunos de los grandes fallos de seguridad de Hotmail.
Kunz avisó el 6 de abril a Microsoft del grave problema. El token usado para proteger la sesión de restablecimiento de contraseña se podía eludir usando valores como "+++)-" puesto que solo comprobaba si estaba vacío para cerrar o bloquear la sesión. El resultado es que se podía secuestrar cualquier cuenta de Hotmail.
Unos días antes, un atacante de origen saudita vendía en foros underground acceso a contraseñas de terceros por 20 euros. Parece que no se tomó muy en serio su aviso, hasta que el equipo de Microsoft comprobó que el descubrimiento de Kunz y ciertos incidentes detectados días antes y relacionados con el robo de cuentas muy atractivas (por ejemplo [email protected]) coincidían. Tanto el investigador como el atacante había descubierto el fallo de manera independiente, pero uno lo estaba usando en su propio beneficio y otro alertó inmediatamente a Microsoft. El 21 de abril ya se había corregido el problema, y el 26 se ha hecho público.
Fuente: Hispasec
Kunz avisó el 6 de abril a Microsoft del grave problema. El token usado para proteger la sesión de restablecimiento de contraseña se podía eludir usando valores como "+++)-" puesto que solo comprobaba si estaba vacío para cerrar o bloquear la sesión. El resultado es que se podía secuestrar cualquier cuenta de Hotmail.
Unos días antes, un atacante de origen saudita vendía en foros underground acceso a contraseñas de terceros por 20 euros. Parece que no se tomó muy en serio su aviso, hasta que el equipo de Microsoft comprobó que el descubrimiento de Kunz y ciertos incidentes detectados días antes y relacionados con el robo de cuentas muy atractivas (por ejemplo [email protected]) coincidían. Tanto el investigador como el atacante había descubierto el fallo de manera independiente, pero uno lo estaba usando en su propio beneficio y otro alertó inmediatamente a Microsoft. El 21 de abril ya se había corregido el problema, y el 26 se ha hecho público.
Fuente: Hispasec
Hotmail siempre ha tenido problemas de seguridad, es mejor utilizar Gmail, a parte es mucho ma rápido..
ResponderBorrarDudo mucho que la seguridad de Gmail sea mucho mejor. Ya que a mi Inbox me llegan correos de otro parecido al mio y la única diferencia es un punto.
ResponderBorrarHola 'anónimo 29/04/12 04:07':
ResponderBorrarLo que mencionas de Gmail sobre el punto, eso es una característica de Gmail y no una falla de seguridad.
Toda dirección Gmail admite que se escriba con o sin punto, y el punto puede ponerse en cualquier parte.
Puedes leerlo en: http://unmundobinario.com/2010/05/18/%C2%BFsabias-que-gmail-no-lee-los-puntos/
y en:
https://support.google.com/mail/bin/answer.py?hl=es&topic=1564&answer=10313#
Saludos.