Microsoft dicht gapend gat in Hotmail
Microsoft heeft een zeer ernstig beveiligingslek in Hotmail gepatcht waardoor aanvallers wachtwoorden konden resetten en accounts overnemen, wat ook is gebeurd. Door de kwetsbaarheid in de functie om wachtwoorden te restten, kon een aanvaller het Hotmail/MSN wachtwoord van zijn eigen waarden voorzien. Het probleem speelde bij Microsoft's officiële MSN Hotmail (Live) service, aldus een artikel op WhiteC0de
De kwetsbaarheid werd eerst ontdekt door een Saoedische hacker, die lid van het dev-point.com forum is. De exploit om het lek te misbruiken belandde uiteindelijk op verschillende fora voor cybercriminelen en werd massaal gebruikt voor het hacken van Hotmail-accounts. Bij gebruikers die hun Hotmail-account ook aan financiële diensten als PayPal hadden gekoppeld, werd geld gestolen.
Firefox
Door het lek was het mogelijk om Hotmail's token-gebaseerde inlogbescherming te omzeilen. Deze maatregel controleert alleen of de invoerwaarden leeg zijn, voordat de websessie wordt gesloten. De hacker wist de beveiliging te omzeilen door een string karakters, in dit geval ‘+++)-.’ toe te voegen.
Het misbruiken van het lek werd vereenvoudigd door het gebruik van de Firefox uitbreiding Tamper Data, die gebruikers de uitgaande HTTP requests van de browser in real time laat aanpassen. Microsoft werd op 6 april ingelicht en verhielp het probleem op 21 april. Volgens WhiteC0de zou er mogelijk nog een ernstig lek in de gratis e-maildienst zitten, die slechts bij een paar hackers bekend is.
http://vimeo.com/40740576
Beelden nog paar dagen terug gezien toevallig..
Kortom zorg ervoor dat privacygevoelige informatie NIET op de email server wordt opgeslagen.
(Inclusief adresboek).
Beste zou zijn als er helemaal geen privacygevoelige informatie in de email werd opgeslagen,
maar de praktijk leert dat het altijd handig is om iets in de email te kunnen terugvinden.
Gebruik (naast webmail) in ieder geval altijd een email client (Windows Live Mail etc) en sla
berichten met privacygevoelige inhoud op in een aparte lokale map (een functionaliteit die over
het algemeen niet beschikbaar is in webmail).
Als je email account dan wordt gehackt dan heeft men geen toegang tot de historische
privacygevoelige data. Die staat namelijk "veilig" op je computer.
Echter de cybercrimineel heeft potentieel wel nog toegang tot nieuwe emails met eventueel
privacygevoelige inhoud.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
