Microsoft risolve una grave falla di sicurezza di Hotmail

Microsoft ha risolto una importante falla di sicurezza che affliggeva i suoi server Hotmail. La falla riguardava il sistema di reimpostazione password degli account Hotmail, permettendo ai malintenzionati di riuscire a resettare la password del loro obiettivo senza conoscerne nessuna informazione.

In particolare il problema riguardava su come i server Hotmail gestivano le richieste di reset. Il sistema per permettere di far resettare la password invia uno speciale link contenente un token identificativo (una sorta di codice) così da permettere solo al legittimo proprietario di effettuare l’operazione. Ma la falla era proprio sulla verifica dai parte dei server di questo token identificativo, infatti i malintenzionati potevano riuscire a resettare la password di chiunque volessero.

Questo hack era talmente facile da utilizzare che molte persone si sono addirittura offerte per resettare password di account Hotmail dietro compenso di circa 20 dollari. L’hack si è diffuso molto rapidamente anche se ha prevalso per lo più in comunità arabe. La falla è stata scoperta da un hacker e da un team di esperti il 6 Aprile che però hanno aspettato solo fino al 20 Aprile prima di segnalarla a Microsoft che poi ha subito rilasciato un fix poche ore dopo.




Reply