black.
28-04-2012, 05:22
Spotted
Via een lek in Hotmail konden hackers wekenlang ongestoord willekeurige accounts hacken. Microsoft komt met een reparatie, maar de schade is al geschied.
De gevaarlijke bug zat in de reset-functionaliteit van Hotmail, waardoor aanvallers met hulp van de Firefox-extensie Tamper Data wachtwoorden opnieuw konden instellen. Volgens Naveen Thakur van de website Whitec0de.com onderschept deze extensie uitgaande HTTP-verzoeken in de Firefox-browser. Wanneer een nieuw wachtwoord werd aangevraagd via de Hotmail-resetfunctie, kon het wachtwoord onderweg worden aangepast.
De truc is blijkbaar al weken bekend in de hackersgemeenschap en leidde tot een onderlinge oorlog, waarbij cybercriminelen al voor 20 dollar aanboden om een Hotmail-account naar wens te kraken. De truc is blijkbaar zo simpel dat sommigen zelfs YouTube-instructievideo’s online hebben geplaatst.
Microsoft heeft de kwetsbaarheid gisteren in alle stilte gerepareerd, maar het is nog onbekend hoeveel accounts zijn gehacked. Onderzoekers van Vulnerability Lab kwamen het probleem echter al op 6 april op het spoor en schakelden onmiddelijk Microsofts Security Response Center in.
Het is eenvoudig om te ontdekken of je het slachtoffer bent geworden van deze hack, omdat getroffen gebruikers geen toegang meer krijgen met hun oude wachtwoord. Kwetsbaarheden in Hotmail zijn aan de orde van de dag en kunnen gevaarlijk zijn, omdat Microsoft steeds meer kwetsbare en financiële gegevens koppelt aan zijn Windows Live ID in aanloop naar de lancering van Windows 8.
Firefox-extensie Tamper Data
Via een lek in Hotmail konden hackers wekenlang ongestoord willekeurige accounts hacken. Microsoft komt met een reparatie, maar de schade is al geschied.
De gevaarlijke bug zat in de reset-functionaliteit van Hotmail, waardoor aanvallers met hulp van de Firefox-extensie Tamper Data wachtwoorden opnieuw konden instellen. Volgens Naveen Thakur van de website Whitec0de.com onderschept deze extensie uitgaande HTTP-verzoeken in de Firefox-browser. Wanneer een nieuw wachtwoord werd aangevraagd via de Hotmail-resetfunctie, kon het wachtwoord onderweg worden aangepast.
De truc is blijkbaar al weken bekend in de hackersgemeenschap en leidde tot een onderlinge oorlog, waarbij cybercriminelen al voor 20 dollar aanboden om een Hotmail-account naar wens te kraken. De truc is blijkbaar zo simpel dat sommigen zelfs YouTube-instructievideo’s online hebben geplaatst.
Microsoft heeft de kwetsbaarheid gisteren in alle stilte gerepareerd, maar het is nog onbekend hoeveel accounts zijn gehacked. Onderzoekers van Vulnerability Lab kwamen het probleem echter al op 6 april op het spoor en schakelden onmiddelijk Microsofts Security Response Center in.
Het is eenvoudig om te ontdekken of je het slachtoffer bent geworden van deze hack, omdat getroffen gebruikers geen toegang meer krijgen met hun oude wachtwoord. Kwetsbaarheden in Hotmail zijn aan de orde van de dag en kunnen gevaarlijk zijn, omdat Microsoft steeds meer kwetsbare en financiële gegevens koppelt aan zijn Windows Live ID in aanloop naar de lancering van Windows 8.
Firefox-extensie Tamper Data