ГлавнаяНаукаВсе новости раздела
 

Любой хакер может изменить ваш пароль в Hotmail

Корреспондент.net, 12 февраля 2002, 18:34
0
38

Обнаружено очередное, весьма серьезное уязвимое место в бесплатной почтовой службе Hotmail, благодаря чему любой злоумышленник может легко поменять под себя пароль пользователя. И в один прекрасный день Вы можете обнаружить, что больше не имеете доступа к собственному почтовому ящику.

Проблема состоит в том, что пароль в Hotmail это одновременно и пароль для входа в другие сервисы Microsoft. Таким образом хакер, взломавший чужой пароль в Hotmail, может получить значительно больше, чем бесплатный почтовый ящик.

Как правило, пользователю, забывшему свой пароль, предлагается заполнить форму, в которой он повторно указывает адрес электронной почты, штат или государство, в котором он проживает, и почтовый индекс.

Если ответы совпадают с тем, что было введено при регистрации нового почтового ящика, то пользователю предлагается ответить на какой-нибудь "секретный вопрос" (например, "Как зовут мою собаку?").

Как выяснилось, любой человек, который в состоянии вызвать текст html-источника страницы (в Internet Explorer это называется "в виде HTML"), увидит там "скрытое" поле
Если его заполнить нужным логином, записать html-текст этой формы в виде отдельного html-файла и запустить через браузер, то на экран выводится тот самый "секретный вопрос". Если он слишком простой и отчет на него достаточно легко отгадать, хакер может сменить пароль под себя.

Уязвимость была обнаружена примерно две недели назад, и по некоторым сведениям, все это время небольшая группа хакеров терпеливо проверяла длинный список интересующих их логинов на предмет простых "секретных вопросов".

Представители Microsoft утверждают, что никаких эксцессов с проверкой паролей в их службе никогда не было, и отмечают, что качество и сложность "секретных вопросов" всегда остается на усмотрение пользователей, передает Компьюлента.

А там временем, специалисты по компьютерной безопасности недоумевают, каким образом такие критически важные для аутентификации пользователя фрагменты программы оказываются доступны "всем желающим" в виде никак не зашифрованного текста.

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции.
powered by lun.ua

ЧИТАЙТЕ ТАКЖЕ

Корреспондент.net в cоцсетях