Разделы

Безопасность Интернет Веб-сервисы Цифровизация Бизнес-приложения
|

"Дыра" в Hotmail позволяет хакерам менять пароли пользователей

Специалисты по сетевой безопасности обнаружили очередную серьезную системную уязвимость в популярной почтовой службе Hotmail. Используя ошибку, о которой сообщил небезызвестный специалист по компьютерной безопасности Адриан Ламо (Adrian Lamo), хакер может легко поменять пароль к любому ящику. В результате каждый пользователь Hotmail имеет шанс в один "прекрасный" день обнаружить, что больше не имеет доступа к собственному почтовому ящику.
Проблема заключается в том, что пароль для доступа к почте Hotmail является одновременно и паролем для входа в другие сервисы Microsoft, в частности, в службы платформы .NET. Следовательно, хакер, взломавший чужой пароль Hotmail, может получить значительно больше, чем просто бесплатный почтовый ящик.

Как правило, пользователю, забывшему свой пароль, предлагается заполнить форму, в которой он повторно указывает адрес электронной почты, штат или страну, в которой он проживает, и почтовый индекс. Если ответы совпадают с тем, что он вводил при регистрации нового почтового ящика, то ему предлагается ответить на какой-нибудь "секретный вопрос", типа "Как зовут мою собаку?". Как выяснилось, любой пользователь, который в состоянии вызвать текст HTML-источника страницы, увидит там "скрытое" поле. Если его заполнить нужным логином, записать HTML-текст этой формы в виде отдельного HTML-файла и запустить через браузер, то на экран выводится тот самый "секретный вопрос".

Глава «1С» Борис Нуралиев в интервью CNews: Каждый сотый сотрудник ИТ-компании должен преподавать
кадры

Уязвимость была обнаружена примерно две недели назад, и, по некоторым сведениям, все это время небольшая группа хакеров терпеливо проверяла длинный список интересующих их логинов на предмет простых "секретных вопросов".

Представители Microsoft утверждают, что никаких проблем с проверкой паролей в их службе никогда (?) не было, и отмечают, что сложность и качество "секретных вопросов" всегда остается на совести пользователей. Специалисты по компьютерной безопасности недоумевают, каким образом такие критически важные для аутентификации пользователя фрагменты программы оказываются доступны практически всем желающим в виде незашифрованного текста. Мы же, в свою очередь, удивимся тому факту, что насквозь "дырявым", десятки раз дискредитировавшим себя сервисом продолжает пользоваться большое число интернетчиков.

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Олеся Суханос, «МегаФон ПроБизнес»: Экологическая обстановка стабилизируется за счет новейших технологий

Российского «убийцу Zoom» на бирже оценят в 30 миллиардов

Александр Осипов, «МегаФон»: Эффективность киберзащиты вырастет, если снизится рутинная нагрузка на специалистов

«Википедия» пошла войной на Генпрокуратуру и Роскомнадзор. Поданы три иска, тяжба может оказаться громкой

Росагролизинг: как специалисты «Нетрики» провели миграцию аналитической системы компании с MS SQL Server на Postgres Pro

Китайская Alibaba больше не принимает рубли и не оформляет доставку в Россию

MARKET.CNEWS

VDI

Подобрать тариф на аренду виртуальных рабочих мест

От 1 750 руб./месяц

Kubernetes

Рассчитать стоимость кластеров Kubernetes

От 0.52 руб./месяц

IaaS

Подобрать облачную инфраструктуру

От 346 руб./месяц

Colocation

Подобрать ЦОД для размещения ИТ-оборудования

От 815 руб./месяц

Техника

Обзор HUAWEI WATCH FIT 3: умные часы или фитнес-браслет?

Обзор ноутбука IRBIS SmartBook 14NBP3003: мобильное решение для корпоративного сегмента

Обзор наушников HUAWEI FreeLace Pro 2: надежное решение для динамичной жизни

Показать еще

Наука

Внутри алмаза обнаружен иноземный минерал с необычным составом

Переворот в физике: найдены доказательства существования гравитона

Астрофизики запечатлели окончание формирования планеты из диска газа и пыли
Показать еще
True Tech Day 2024 True Tech Day 2024