Системная уязвимость Hotmail способна лишить пользователя доступа к почтовому ящику и сервисам .Net

Специалисты по безопасности обнаружили серьезную системную уязвимость в популярной почтовой службе Hotmail . Используя ошибку, о которой сообщил небезызвестный специалист по компьютерной безопасности Адриан Ламо (Adrian Lamo), хакер может легко поменять пароль любого пользователя службы. В результате каждый пользователь Hotmail может в один прекрасный день обнаружить, что больше не имеет доступа к собственному почтовому ящику. Проблема состоит в том, что пароль в Hotmail является одновременно и паролем для входа в другие сервисы Microsoft, в частности в службы платформы .NET. Следовательно, хакер, взломавший чужой пароль Hotmail, может получить значительно больше, чем просто бесплатный почтовый ящик.

Как правило, пользователю, забывшему свой пароль, предлагается заполнить форму, в которой он повторно указывает адрес электронной почты, штат или государство, в котором он проживает, и почтовый индекс. Если ответы совпадают с тем, что он вводил при регистрации нового почтового ящика, то ему предлагается ответить на какой-нибудь "секретный вопрос", вроде "Как зовут мою собаку?". Как выяснилось, любой пользователь, который в состоянии вызвать текст HTML-источника страницы, увидит там "скрытое" поле. Если его заполнить нужным логином, записать HTML-текст этой формы в виде отдельного HTML-файла и запустить через браузер, то на экран выводится тот самый "секретный вопрос".

Уязвимость была обнаружена примерно две недели назад, и по некоторым сведениям, все это время небольшая группа хакеров терпеливо проверяла длинный список интересующих их логинов на предмет простых "секретных вопросов".