Hotmail får ett stort säkerhetshål fixat

Posted by Robert | april 27, 2012 0

Antal stora säkerhetshål i viktiga IT tjänster fortsätter öka trots alla ansträngningar att fixa dessa. En trolig orsak är att de som letar säkerhetshålen blir allt duktigare eller är före detta anställda som redan tidigt kände till bristerna och trots påpekande inte fick dem att åtgärda detta.

Nu senast igår släppte Microsoft en fix som täpper till ett allvarligt säkerhetshål eller brist i mailtjänsten Hotmail. Samtliga användare på Hotmail har varit drabbad av säkerhetshålet.

Microsoft blev tvungna att täppa till (läs fixa) hålet då kriminella börjat erbjuda full tillgång till en hotmail användares konto mot betalning. Det intressanta här är att det verkligen gick att komma åt ett obehörigt konto och från det maila eller via det komma åt inloggningar till andra mer viktiga tjänster som Facebook, Twitter och internet tjänster. Att få tillgång till ett konto innebar att man kan utföra ett vanligt glömt lösenord på t.ex. Facebook och då kunna logga in där.

Säkerhetsbloggen Whitec0de skrev att kriminella börjat sälja ett hackat konto för 20 dollar vilket är ca 135 svenska kronor.

För att få tillgång till ett hotmail konto användes funktionen glömt lösenord. Genom ganska enkla metoder kunde man ange en egen mailadress istället för den mailadressen som egentligen stod för kontot. På så sätt kunde man alltså komma åt annans mail utan att veta om dess lösenord.

Säkerhetshålet tros varit känt hos hackare sedan i början av april men förmodligen mycket längre tillbaka än så.

Microsoft säger till IDG News att de åtgärdat funktionen med att nollställa lösenord. Användarna är skyddade och behöver inte göra något.

Har du ett hotmail konto rekommenderar jag iaf att du byter ditt lösenord..News from BBS News

Microsoft has rushed out a fix for a serious bug in its Hotmail webmail services.

The bug allowed a hacker to reset the password for a Hotmail account, locking out its owner and giving the attacker access to the inbox.

The fix was put together because the bug was starting to be actively exploited online.

One security news site reported that some hackers were offering to hack Hotmail accounts for $20 (£12).

Computer security researchers discovered the vulnerability in early April and told Microsoft about it soon afterwards. The bug revolved around the way Hotmail handles the data that must pass back and forth when a user wants to reset their password.

Details of the bug leaked out and led to attackers trying to find a way round it.

Using add-on tools for the Firefox browser, hackers realised they could tamper with the data passing between a user and Hotmail servers in a way that handed them control over an account they targeted.

As knowledge of the bug spread, some started offering to hack accounts for cash and others posted YouTube videos of Hotmail accounts being taken over in real time.

It is not clear how many Hotmail accounts have been hacked by attackers exploiting the bug. Those who have fallen victim will know because they will find they are locked out of their Hotmail account.

With the bug being ”actively exploited”, Microsoft found a way to fix it and updated Hotmail to close the loophole a day or so later. Now Hotmail servers return an error when attackers try to manipulate data exchanges.

Microsoft issued a short statement about the fix and said no further action was needed by customers.

Hotmail is the world’s largest web-based email service and Microsoft claims that it has about 350 million users. 

 

Leave a Reply

Articles you may be interested

libratone-one-12-sponsored
asus_zenwatch_3_gunmetal-with-brown-leather-17

Nya lyxiga ASUS ZenWatch3 smartwatch

Posted on Nov 24, 2016 in Allmänt | no responses

FNATIC-GEAR-MUS1

Fnatic Flick G1 mus för gamers av gamers

Posted on Nov 23, 2016 in Blogg | no responses