Wachtwoord van Hotmail eenvoudig te kraken

  • Bron (c) 2003, VirusAlert

Het e-mailadres van je ‘slachtoffer’ achterhalen en twee webadressen bezoeken: meer was niet nodig om iemands wachtwoord aan te passen, zo blijkt uit een posting van de Pakistaan Muhammed Faisal Rauf Danka op de mailinglist Full Disclosure.

Microsoft stuurde het webadres om andermans wachtwoord aan te passen automatisch op, nadat een aanvaller een webadres had bezocht met daarin het e-mailadres van het slachtoffer en zijn eigen e-mailadres. Via het toegemailde adres was het mogelijk om het oude password te ‘resetten’.

In een interview met CNet zegt de Pakistaan Danka het gat te hebben ontdekt, nadat het Passport-account van een vriend was gehackt. Diverse veiligheidsexperts bevestigden op de mailinglist Full Disclosure dat de door Danka geschetste methode om andermans Passport-wachtwoord aan te passen, daadwerkelijk werkt.

Drieënhalf uur nadat het bericht op Full Disclosure was verschenen, had Microsoft het probleem ondervangen. Eerder was op de meer dan tien e-mails die Danka sinds 12 april naar het softwareconcern had gestuurd, geen reactie gekomen.