Barst
5th July 2006, 02:36
Nederlandse tiener ontdekt lek in Hotmail
Er is (weer) een lek ontdekt in Hotmail, de gratis maildienst van Microsoft. Volgens de 16-jarige Nederlander Adriaan Graas is iedereen in staat een ander Hotmail-account te hacken. Het nieuws staat te lezen op Nu.nl. Het probleem in Hotmail zit in een technologie die bekend staat onder de term cross site scripting (xss). In het verleden zijn al diverse lekken in Hotmail aan het licht gekomen die ook met xss hebben te maken.
In de praktijk komt het er op neer dat men een stuk code moet injecteren in het webadres van een speciaal voor dit doel aangemaakte pagina. Vervolgens moet een argeloze Hotmail-gebruiker naar deze pagina worden gelokt. Die stuurt dan zonder het zelf te beseffen via de code zijn logincookie - het bestand waarmee Hotmail bijhoudt of de gebruiker is ingelogd - naar de computer van de hacker. Die kan dan via die informatie inloggen op het account van het slachtoffer.
Graas heeft naar eigen zeggen het lek al op 27 juni gemeld aan Microsoft, maar het bedrijf zou er nog niet op hebben gereageerd. Volgens enkele beveiligingsexperts moeten we het 'nieuwe' lek overigens nuanceren. Volgens hen gaat het om een uitwerking van een lang bestaand probleem en heeft Microsoft totnutoe vrijwel niets gedaan om een oplossing te zoeken.
DS, 04-07-2006 (kum)
Er is (weer) een lek ontdekt in Hotmail, de gratis maildienst van Microsoft. Volgens de 16-jarige Nederlander Adriaan Graas is iedereen in staat een ander Hotmail-account te hacken. Het nieuws staat te lezen op Nu.nl. Het probleem in Hotmail zit in een technologie die bekend staat onder de term cross site scripting (xss). In het verleden zijn al diverse lekken in Hotmail aan het licht gekomen die ook met xss hebben te maken.
In de praktijk komt het er op neer dat men een stuk code moet injecteren in het webadres van een speciaal voor dit doel aangemaakte pagina. Vervolgens moet een argeloze Hotmail-gebruiker naar deze pagina worden gelokt. Die stuurt dan zonder het zelf te beseffen via de code zijn logincookie - het bestand waarmee Hotmail bijhoudt of de gebruiker is ingelogd - naar de computer van de hacker. Die kan dan via die informatie inloggen op het account van het slachtoffer.
Graas heeft naar eigen zeggen het lek al op 27 juni gemeld aan Microsoft, maar het bedrijf zou er nog niet op hebben gereageerd. Volgens enkele beveiligingsexperts moeten we het 'nieuwe' lek overigens nuanceren. Volgens hen gaat het om een uitwerking van een lang bestaand probleem en heeft Microsoft totnutoe vrijwel niets gedaan om een oplossing te zoeken.
DS, 04-07-2006 (kum)