Hotmail : comptes piratés pour 20 $

Le par  |  9 commentaire(s)
hotmail-logo

Microsoft a comblé une faille 0-day dans Hotmail dont l'exploitation permettait de modifier les mots de passe de n'importe quel utilisateur.

La firme de Redmond a indiqué avoir corrigé une vulnérabilité de sécurité pour le moins inquiétante qui concernait Hotmail. Une vulnérabilité 0-day qui a pu être exploitée par des attaquants afin de réinitialiser les mots de passe de comptes, et donc avoir accès à tout le contenu d'une boîte email.

Le blog white0de.com rapporte notamment qu'un membre d'un forum de hackers a proposé ses services pour 20 dollars et la promesse de pirater n'importe quel compte Hotmail en une minute. La technique a néanmoins été rapidement diffusée sur le Web.

Chercheur en sécurité pour Vulnerability Laboratory, Benjamin Kunz Mejri a confirmé l'existence d'une faille critique dans Hotmail. Plus particulièrement, au niveau de la fonctionnalité de la réinitialisation d'un mot de passe et le système d'authentification par jeton permettant normalement de s'assurer que seul le détenteur d'un compte peut procéder.

Via le concours de l'extension Tamper Data pour Firefox qui permet d'intercepter et modifier des requêtes HTTP d'un navigateur, des attaquants ont pu aller au-delà des protections mises en place pour les comptes Hotmail.

" Des attaquants distants peuvent passer outre le service de récupération de mot de passe pour configurer un nouveau mot de passe en se jouant des protections basées sur un jeton. La protection par jeton vérifie seulement si une valeur est vide, puis bloque ou ferme la session Web. Un attaquant distant peut, par exemple, passer outre la protection par jeton avec des valeurs +++)- "

, explique Vulnerability Laboratory qui a découvert la vulnérabilité le 6 avril dernier. Microsoft a été prévenu le 20 avril pour une correction intervenue un jour plus tard. Ce n'est toutefois qu'aujourd'hui que Microsoft a publiquement annoncé cette correction.

Sur les 350 millions d'utilisateurs de Hotmail, le nombre de victimes demeure une inconnue.

hotmail-logo

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
patheticcockroach Hors ligne VIP 7663 points
Le #948991
Pourquoi il leur faut 14 jours pour prévenir M$? 2 semaines de happy hours pour les pirates, bravo...
Quant à la description de la faille, no comment. Soit c'est incompréhensible, soit on se demande quel stagiaire post-bac ils ont bien pu faire travailler sur la page de reset de mot de passe. Parce qu'aller chercher un token dans une bdd, quand même, ça semble pas bien compliqué...
Le #949121
J'aimerais tellement me débarrasser de mon compte sur hotmail, depuis des changements qui le rendent incompatible où presque sous Firefox 3.6.24 (ne me parlez pas de la dernière version, j'en parle souvent sur les sujets de ce site, je déteste leur nouvelle version) mais voilà ce compte hotmail, je l'utilise presque depuis le tout début de leur histoire et j'ai tellement d'inscriptions a des forums et différents sites qui y sont rattachés dont certains que je ne me rappelle plus exactement et que je ne veux pas perdre pour autant, suffirait que j'ai oublié le mot de passe sur un site et que je demande un reset, si j'ai plus accès au compte email en question, je suis comme dans la merde...
patheticcockroach Hors ligne VIP 7663 points
Le #949191
@Dodge34: après Gmail (Big Brother) puis Yahoo Mail (filtre anti-junk sortant tellement déconnant que je ne peux plus envoyer d'e-mails, bravo les débiles de chez Yahoo), je suis repassé sur Hotmail depuis un petit mois, et franchement ça marche pas mal, même si l'UI laisse un peu à désirer au niveau de la réactivité. Sinon pour Fx, j'ai bien compris que tu aimes pas les nouvelles versions, mais va quand même falloir passer à un truc à jour, un jour. J'ai récemment essayé Maxthon, après avoir lu qu'il était le meilleurs aux test html5test.com (http://html5test.com/results/desktop.html), il est pas mal quoique les options sont un peu bordeliques et Ad Block absent.
Le #949251
La lenteur de Microsoft me déconcerte ! Je parie que c'était eux qui ont fabriqué la coque du Titanic. "Capitaine ! Captitaine ! Nous coulons !!!" ... "Relaxe matelot, on aura plus de facilité à combler la brèche quand le navire sera stable et posé tranquillement sur le fond"
Le #949341
@www7: attendre, pour réagirs, c'est triste il y a longtemps que cela exite! bon soyez prudent! :
patheticcockroach Hors ligne VIP 7663 points
Le #949381
Ulysse2K a écrit :

La lenteur de Microsoft me déconcerte ! Je parie que c'était eux qui ont fabriqué la coque du Titanic. "Capitaine ! Captitaine ! Nous coulons !!!" ... "Relaxe matelot, on aura plus de facilité à combler la brèche quand le navire sera stable et posé tranquillement sur le fond"


Ben, en fait là non, si l'on en croit les dates de la news la lenteur est du côté des découvreurs:
"Vulnerability Laboratory qui a découvert la vulnérabilité le 6 avril dernier. Microsoft a été prévenu le 20 avril pour une correction intervenue un jour plus tard."
Le #949681
patheticcockroach a écrit :

Ulysse2K a écrit :

La lenteur de Microsoft me déconcerte ! Je parie que c'était eux qui ont fabriqué la coque du Titanic. "Capitaine ! Captitaine ! Nous coulons !!!" ... "Relaxe matelot, on aura plus de facilité à combler la brèche quand le navire sera stable et posé tranquillement sur le fond"


Ben, en fait là non, si l'on en croit les dates de la news la lenteur est du côté des découvreurs:
"Vulnerability Laboratory qui a découvert la vulnérabilité le 6 avril dernier. Microsoft a été prévenu le 20 avril pour une correction intervenue un jour plus tard."


Ha ok, autant pour moi alors. Mais bon, Microsoft ne nous a pas habitué à une fulgurante réactivité dans la correction de ses bugs et de ses failles ... l'habitude je suppose
Anonyme
Le #950021
patheticcockroach a écrit :

@Dodge34: après Gmail (Big Brother) puis Yahoo Mail (filtre anti-junk sortant tellement déconnant que je ne peux plus envoyer d'e-mails, bravo les débiles de chez Yahoo), je suis repassé sur Hotmail depuis un petit mois, et franchement ça marche pas mal, même si l'UI laisse un peu à désirer au niveau de la réactivité. Sinon pour Fx, j'ai bien compris que tu aimes pas les nouvelles versions, mais va quand même falloir passer à un truc à jour, un jour. J'ai récemment essayé Maxthon, après avoir lu qu'il était le meilleurs aux test html5test.com (http://html5test.com/results/desktop.html), il est pas mal quoique les options sont un peu bordeliques et Ad Block absent.


La version 2.5 de Maxthon comporte un Adblock et l'interface est moins "délicate" que celle de la v3 (3.3.4.2000).
Mais j'ai essayé la v3 en février, je vais voir s'il y en a une nouvelle. Je me sers parfois d'IE car certains sites ne fonctionnent bien qu'avec ce navigateur.

Anonyme
Le - Editer #1007562
patheticcockroach a écrit :

Pourquoi il leur faut 14 jours pour prévenir M$? 2 semaines de happy hours pour les pirates, bravo...
Quant à la description de la faille, no comment. Soit c'est incompréhensible, soit on se demande quel stagiaire post-bac ils ont bien pu faire travailler sur la page de reset de mot de passe. Parce qu'aller chercher un token dans une bdd, quand même, ça semble pas bien compliqué...


Enfin un service de qualité , par des professionnels !
HACK.MSN-FACEBOOK.COM est la garantie d'un piratage parfait ! aucune trace , garanti 100 % !
Nous proposons de pirater les compte Facebook , Msn , Skype et meme? les webcams !
Une seule adresse pour nous trouver : Hack.MSN-Facebook.com
Notre équipe se tiens a votre écoute !
Hack.MSN-Facebook.com
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]