Исследователи Microsoft, обрабатывая протоколы серверов Hotmail за август 2010 года, случайно обнаружили схему переадресации cookie, которую можно было бы применять для перехвата сеансов работы с почтой. Выяснилось, что часть пользователей подключалась к своим ящикам более чем с одной автономной системы Интернета (провайдер или другая организация). Как установили исследователи, в большинстве случаев это происходило с мобильных устройств или через VPN, но была обнаружена и аномалия: с одного датского IP-адреса происходил вход в большое число аккаунтов. Затем cookie этих сеансов, вероятно после пересылки, использовались повторно с нескольких IP-адресов в США. Исследователи предлагают следующее возможное объяснение. Некоторые провайдеры веб-почты блокируют аккаунт, как подозрительный, если в течение короткого времени в него заходят из разных стран. Пересылка краденого cookie сеанса позволила бы атакующим заходить в чужой аккаунт с другого IP, избегая обнаружения.

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF