Una vulnerabilidad en el manejo de correos por parte de Hotmail puede ser utilizada para la obtención de contraseñas a las cuentas personales. Hace unos días apareció en diferentes sitios web de comentarios personales (Blogs) una explicación de un fallo de seguridad en Hotmail. Ha sido a su vez comentado en numerosos sitios de seguridad informática de habla hispana. Publicado días atrás en un foro de seguridad como una novedad, varios expertos comprobaron la gravedad del problema, lo que elevó el nivel de alerta, debido a la popularidad que goza el mencionado servicio.
“Lo sorprendente de esta vulnerabilidad es lo fácil que puede ser usada para lograr datos de la cuenta personal sin tener mucho conocimiento del tema”, comentaron investigadores de ESET. “En menos de 5 minutos logramos hacer una prueba exitosa con una cuenta temporal.”
Un atacante podría engañar a los usuarios del servicio mediante un correo electrónico con un enlace de apariencia inocente.
Al visitar el sitio donde es hospedado la página maliciosa, se ejecuta un script que captura una cookie generada por el servidor de Hotmail. En la misma se encuentran datos confidenciales que el usuario utiliza para acceder a su correo. Esta información es enviada automáticamente al autor del ataque, en un correo electrónico.
Es importante tener en cuenta que al hacer un simple clic, la cuenta de la víctima ha dejado de ser segura. Esto puede ser usado para atacar a toda la lista de contactos existentes, sin que se perciba nada extraño.
El robo de identidad es un delito de rápido crecimiento, y este fallo ayuda a aumentar sus incidencias globales. Un pirata podría utilizar las cuentas de Hotmail para enviar decenas de mensajes simulando ser el dueño de las mismas.
A tiempo de publicar la noticia, el fallo continuaba siendo explotable.
Son afectadas las cuentas de Hotmail y relacionadas.
Microsoft, responsable de Hotmail, no ha hecho comentario alguno ni se ha publicado ninguna resolución sobre el problema reportado.
Nunca abra un enlace no solicitado, recibido por correo electrónico o messenger.
Si aún desea abrir un enlace de una fuente segura, se recomienda proceder de la siguiente manera. Cierre las sesiones de su MSN Messenger e Internet Explorer en uso y utilice un nuevo navegador para pegar la dirección en él, e ir al sitio deseado.
Esto minimizará el impacto de esta vulnerabilidad, pero de ningún modo significa que estaremos completamente a salvo del robo de información personal, si no aplicamos las más estrictas normas de conducta al navegar por Internet.
Si quieren pueden ver en que consiste el fallo y como pueden explotarlo tambien (Espero no abusen de esto) xD
April 15th, 2007 at 0:19
pues estan bien tus recomendaciones, pero si te hubieras tomado la molestia de leer y probar e hubieras dado cuenta que hace rato que ya no se puede usar la vulnerabilidad asi que no hay nada de que alarmarse…
Aparte esta vulnerabilidad era conocida por mucha gente no mas que ahora salio a luz publica a cargo de makoki que fue el que dio el primer pitazo sobre esta vulnerabilidad
April 15th, 2007 at 11:47
claro que ya lo probe, y tengo las cuentas todavias me robe algunas, xD asi que no digas que no sirve por que todavia funciona, intentalo y veras. Pero gracias por comentar,
April 16th, 2007 at 13:39
hola me ebajado esos archivos y me gustaria saber como tengo que hacer para usarlos xD
April 16th, 2007 at 19:23
mira este video:
http://www.underlatino.org/index.php?topic=67.0
y tambien esta el tutorial:
http://www.underlatino.org/index.php?topic=7.0
Espero te sirva y no hagas maldades xD, te lo dejo para uso educativo xD
May 13th, 2007 at 17:40
ni siquiera entiendo como hacerlo
May 13th, 2007 at 19:10
solo dejame comunicarte que esto ya no funciona, fue parchado por los de microsoft, asi que ni te desesperes que de nada sirve ya.
November 9th, 2007 at 18:51
He encontrado (de hecho, desde hace meses) un bug en Hotmail que puede darnos (con un poco de trabajo, tiempo y paciencia) las contraseñas de cualquier cuenta @hotmail.com y @live.com. Al parecer es un bug reciente debido a la actualización de Hotmail a live.com, pero en fin, lo que importa es que está a nuestra disposición….
Como no quiero que el bug sea reparado (al menos no tan pronto) no explicaré la forma de hacerlo, pero para nuestro investigadores les diré ke tienen que usar al menos 2 navegadores diferentes, y achilles (ya saben ke el asunto va por las cookies).
He logrado obtener 24 contraseñas de 29 cuentas (unas 5 no se porque no me da el password), por lo que me atrevo a decir que el método es efectivo. Tampoco es que das 2 clicks y ya funciona, como dije, tienes ke tener paciencia y hacer muchas operaciones, además de estar cambiando las cookies por las propias (si, asi es).
Bueno, para nuestros investigadores lo dejo de tarea….Mucha suerte!!!
November 22nd, 2007 at 23:00
hola amigo y no nos puedes dar una ayuda
hace meses stoy q kiero aprender y no puedo :s
March 22nd, 2008 at 11:06