Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Hotmail vulnerable al robo de contraseñas
 
VSantivirus No. 586 - Año 6 - Miércoles 13 de febrero de 2002

 Hotmail vulnerable al robo de contraseñas
http://www.vsantivirus.com/13-02-02b.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy

El problema no es solo con Hotmail, sino con todo el soporte relacionado, y conocido como Passport, una de las claves para el uso comercial del nuevo entorno .NET. En teoría, esta forma de autentificación, nos habilita no solo la cuenta de correo, sino el acceso a numerosas formas de comercio electrónico, transacciones comerciales y bancarias, etc.

En la teoría, si un atacante puede hacerse de nuestra contraseña, puede acceder a los sitios de comercio electrónico habilitados con dicha contraseña en Passport, hacer sus compras a nuestro nombre y pedir la despachen a otra dirección. Aunque esta situación pueda no ser tan común para aquellos que no vivimos en los Estados Unidos, es bueno que sepamos que ello es posible, y que podríamos convertirnos fácilmente en víctimas de un auténtico fraude.

El truco usado esta vez por los crackers para obtener las contraseñas, está relacionado con la pregunta confidencial que Hotmail solicita cuando un usuario se olvida la clave. Normalmente, es necesario llenar un formulario en el Web con algunos datos, entre los cuáles está la pregunta confidencial.

Existe una forma de saltarse el formulario de aprobación, e ir directamente a la pregunta confidencial de cualquier usuario. Con estos datos, puede obtenerse la contraseña de este usuario, y con ella la utilización de su cuenta en Passport.

Lo más preocupante (además del hecho del uso ilegal de nuestra cuenta por supuesto), está en que las "herramientas" para hacer uso de este exploit, están visibles para cualquiera que se tome el trabajo de examinar el código fuente de la página de login de Hotmail. Y por cierto que es un error muy grave de seguridad dejar cierta información crítica en texto plano, sin ninguna clase de encriptación... :(

Si usted tiene cuenta de Hotmail, espere hasta que Microsoft solucione esta falla, antes de pensar en utilizar su cuenta Passport para algún tipo de transacción comercial. Y rece para que nadie lo haga en su lugar... :(


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2002 Video Soft BBS