Исправлена«дыра», открывшая свободный доступ к десяткам миллионов почтовых ящиков

Вынужденная произвести обновление программного обеспечения на сотнях серверов, вечером 30 августа корпорация Microsoft распространила сообщение, что «дыра» в Hotmail (www.hotmail.com), открывшая свободный доступ к почтовым ящикам пользователей, исправлена.

Утром в корпорации получили информацию о том, что с находящегося в Швеции сервера Internet можно вскрыть личную электронную почту любого пользователя Hotmail, не зная пароля.

Хакер Tweety Fish: «Процедура взлома Hotmail «одна из самых
простых, с которыми я когда-либо сталкивался»

«Мы обновляли серверы всю первую половину дня. Один, правда, пропустили, но сейчас все готово, — сказал представитель Microsoft. — Наши специалисты по два раза проверяют каждый сервер, чтобы убедиться, что ПО обновлено. В общем, проблема решена».

«Брешь» в Hotmail особенно неприятна тем, что подвергает риску миллионы почтовых ящиков, причем для взлома не требуется никаких хакерских навыков — достаточно знать имя пользователя и уметь выполнять лишь операции копирования и вставки текста.

На ряде серверов ошибка была исправлена через несколько часов после обнаружения. Однако, перебрав некоторое количество номеров серверов, в тестовом центре InfoWorld все же сумели получить доступ к почтовым ящикам Hotmail. К вечеру повторить операцию уже не удалось.

Впервые информация о бреши появилась на одном из шведских Web-узлов, где была размещена страница, позволяющая, введя соответствующее имя, работать с почтовыми ящиками зарегистрированных пользователей Hotmail.

После обращения европейских пользователей в Microsoft корпорация закрыла службу для проведения работ по коррекции ошибки.

Сообщение об угрозе для почтовых ящиков Hotmail было размещено также на Web-узле Slashdot.org.

Hotmail оказалась уязвимой не столько в результате «взлома», сколько вследствие изъяна в алгоритме распознавания URL пользовательских почтовых ящиков. При установке определенного параметра в составе строки URL в значение, предписывающее не передавать пароль, происходило перенаправление непосредственно на почтовый ящик пользователя.

Поскольку ошибка содержалась в серверном ПО, пользователям не придется заботиться о средствах коррекции. «От пользователей ничего не требуется — мы все сделали сами, отреагировав достаточно быстро», — уверил представитель Microsoft.

Бесплатная служба Hotmail, которая была приобретена Microsoft в прошлом году, предоставляет почтовые ящики индивидуальным пользователям. Однако многие организации использовали Hotmail в качестве резервной системы корпоративной электронной почты. В настоящее время число пользователей Hotmail составляет около 40 млн. человек.

Поделитесь материалом с коллегами и друзьями