Очередные проблемы с безопасностью в Hotmail

≡ Архив | архивная статья | 12.02.2002 18:40

В который раз урок Microsoft преподал «хакер из кафе» Адриан Ламо (Adrian Lamo), о котором мы уже писали ранее. Он сообщил разработчикам сервиса Hotmail, что через обнаруженную уязвимость хакеры смогут менять пользовательские пароли по своему усмотрению (не следует забывать о том, что пароль входа в почтовый сервис открывает путь и к другим персонифицированным услугам Microsoft).

Проблема оказалось в той части почтовой службы, которая касается «забывчивых пользователей». Для тех, кто запамятовал свой пароль, предлагается заполнить форму, в которой пользователь повторно указывает свои персональные данные. При их совпадении на экране появляется тот самый секретный вопрос, ответив на который пользователь получит пароль. Как выяснилось, в виде HTML такая страничка открывает всем скрытое поле. При заполнении его нужным паролем и записи в отдельный файл в браузере выводится «секретный вопрос». Далее же - дело случая.

Как показывают исследования, пользователи очень часто относятся пренебрежительно к этому самому вопросу, делая его слишком простым и, потому, легкодоступным. Сам Ламо отметил, что обратил внимание на проблему по той причине, что чаще всего вводил в качестве таких вопросов «abcdef» или нечто в этом роде. Предполагается, что со времени обнаружения уязвимости (а это уже две недели) плодотворно велись работы по ее использованию и подбору правильных паролей.

Представители Microsoft заявили, что проблема «секретных вопросов» - проблема пользователей, небрежно относящихся к своей защите. Эксперты, тем не менее, могут обвинить компанию в том, что путь к секретному вопросу оказался слишком простым для любопытных. Такая «халатность» ставит в очередной раз под угрозу конфиденциальность более 200 миллионов пользователей Hotmail по всему миру.

комментарии(2)

разделы: Архив