Nowy sposób na przejmowanie tysięcy kont e‑mailowych

Serwis Hard Core Security Lab opisał niebezpieczną lukę, pozwalającą na uzyskanie nieautoryzowanego dostępu do kont e-mail. W niebezpieczeństwie znalazły się konta założone w serwisie Hotmail.

Czy Twoje e-maile są bezpieczne? (Fot. Flickr/.schill/Lic. CC by)
Czy Twoje e-maile są bezpieczne? (Fot. Flickr/.schill/Lic. CC by)
Łukasz Michalik

06.02.2011 17:27

Serwis Hard Core Security Lab opisał niebezpieczną lukę, pozwalającą na uzyskanie nieautoryzowanego dostępu do kont e-mail. W niebezpieczeństwie znalazły się konta założone w serwisie Hotmail.

Piętą achillesową systemu zabezpieczeń Hotmaila okazał się sposób odzyskiwania hasła. Teoretycznie podanie przez właściciela konta dodatkowego adresu e-mail, który może posłużyć do resetowania hasła, jest sposobem wygodnym i bezpiecznym.

Problem pojawił się jednak w momencie, gdy wyszło na jaw, że dodatkowy adres można podejrzeć w źródle strony. Pozornie jest to mało istotna informacja. W praktyce bardzo często zdarza się, że adresy podawane jako rezerwowe są nieużywane lub po prostu zapominane przez ich właścicieli.

Znaczna część serwisów, oferujących darmowe maile po określonym czasie braku aktywności kasuje nieużywane konta. Daje to możliwość ataku poprzez założenie identycznego maila, a następnie wykorzystania go do zdobycia hasła.

Obecnie luka została już usunięta i Hotmail nie daje możliwości sprawdzenia adresu rezerwowego konta e-mail. Nie można jednak wykluczyć, że wiele innych serwisów nadal pozwala na sprawdzenie adresu e-maila w źródle strony.

Opisywany przykład jest dowodem na to, że nawet osoby, które przywiązują dużą wagę do bezpieczeństwa, szyfrowania połączenia i skomplikowanych haseł mogą paść ofiarą ataku. Wykryta luka została już wprawdzie usunięta, ciekawe jednak, kto i kiedy odkryje następną? ;)

Źródło artykułu:WP Gadżetomania
Wybrane dla Ciebie
Komentarze (0)
© Gadżetomania
·

Pobieranie, zwielokrotnianie, przechowywanie lub jakiekolwiek inne wykorzystywanie treści dostępnych w niniejszym serwisie - bez względu na ich charakter i sposób wyrażenia (w szczególności lecz nie wyłącznie: słowne, słowno-muzyczne, muzyczne, audiowizualne, audialne, tekstowe, graficzne i zawarte w nich dane i informacje, bazy danych i zawarte w nich dane) oraz formę (np. literackie, publicystyczne, naukowe, kartograficzne, programy komputerowe, plastyczne, fotograficzne) wymaga uprzedniej i jednoznacznej zgody Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, będącej właścicielem niniejszego serwisu, bez względu na sposób ich eksploracji i wykorzystaną metodę (manualną lub zautomatyzowaną technikę, w tym z użyciem programów uczenia maszynowego lub sztucznej inteligencji). Powyższe zastrzeżenie nie dotyczy wykorzystywania jedynie w celu ułatwienia ich wyszukiwania przez wyszukiwarki internetowe oraz korzystania w ramach stosunków umownych lub dozwolonego użytku określonego przez właściwe przepisy prawa.Szczegółowa treść dotycząca niniejszego zastrzeżenia znajduje się  tutaj.