Nowy sposób na przejmowanie tysięcy kont e‑mailowych
Serwis Hard Core Security Lab opisał niebezpieczną lukę, pozwalającą na uzyskanie nieautoryzowanego dostępu do kont e-mail. W niebezpieczeństwie znalazły się konta założone w serwisie Hotmail.
Serwis Hard Core Security Lab opisał niebezpieczną lukę, pozwalającą na uzyskanie nieautoryzowanego dostępu do kont e-mail. W niebezpieczeństwie znalazły się konta założone w serwisie Hotmail.
Piętą achillesową systemu zabezpieczeń Hotmaila okazał się sposób odzyskiwania hasła. Teoretycznie podanie przez właściciela konta dodatkowego adresu e-mail, który może posłużyć do resetowania hasła, jest sposobem wygodnym i bezpiecznym.
Problem pojawił się jednak w momencie, gdy wyszło na jaw, że dodatkowy adres można podejrzeć w źródle strony. Pozornie jest to mało istotna informacja. W praktyce bardzo często zdarza się, że adresy podawane jako rezerwowe są nieużywane lub po prostu zapominane przez ich właścicieli.
Znaczna część serwisów, oferujących darmowe maile po określonym czasie braku aktywności kasuje nieużywane konta. Daje to możliwość ataku poprzez założenie identycznego maila, a następnie wykorzystania go do zdobycia hasła.
Obecnie luka została już usunięta i Hotmail nie daje możliwości sprawdzenia adresu rezerwowego konta e-mail. Nie można jednak wykluczyć, że wiele innych serwisów nadal pozwala na sprawdzenie adresu e-maila w źródle strony.
Opisywany przykład jest dowodem na to, że nawet osoby, które przywiązują dużą wagę do bezpieczeństwa, szyfrowania połączenia i skomplikowanych haseł mogą paść ofiarą ataku. Wykryta luka została już wprawdzie usunięta, ciekawe jednak, kto i kiedy odkryje następną? ;)
Źródło: Hard Core Security Lab
