Dos sitios Web, uno en el Reino Unido y otro en Suecia,
permitían acceder a cualquier cuenta de Hotmail conociendo
su nombre de usuario, sin necesidad de suministrar la
contraseña.
Si nos ceñimos a las cifras que la propia Microsoft baraja
en sus estadísticas, el correo confidencial de los cerca de 50
millones de usuarios de Hotmail ha estado a disposición de
cualquiera. Con la única ayuda de un navegador, y conociendo
el nombre de usuario, se podía a través de esta vulnerabilidad
leer el correo, suplantar su identidad o cambiar la
configuración.
Un portavoz de Microsoft confirmó el hecho, «Una vez que
nos notificaron la noticia nos pusimos a investigar.
Encontramos que un cracker podía acceder a los servidores
de Hotmail a través de conocimientos avanzados en los
lenguajes de desarrollo Web. Nosotros desconectamos los
servidores en interés de la seguridad y privacidad del
usuario.»
Los servidores vuelven a estar operativos, y Microsoft afirma
haber resuelto la vulnerabilidad. Todo parece indicar que el
problema partía de un bug presente en el script que procesaba
el inicio de sesión entre el navegador del usuario y el servidor.
Más información:
CNET
Wired
Deja una respuesta