Hotmail, messaggi a rischio?

Lo sostiene un gruppo di hacker secondo cui la privacy degli utenti sarebbe a rischio. Per il momento nessun commento da Microsoft, che controlla Hotmail

Hotmail, messaggi a rischio?Mountain View (USA) - I messaggi di posta elettronica su Hotmail possono essere letti anche senza l'autorizzazione del "proprietario". È questa la grave accusa rivolta al sistema di posta elettronica web che fa capo a Microsoft.

A sostenere che il celebre sistemone di webemail dell'azienda che fa capo a Bill Gates sia "bucabile" sono esponenti di un "hacking team" che ha pubblicato sul proprio sito Root Core Network gli strumenti che consentono di leggere la posta altrui.

Secondo gli "smanettoni" che hanno preso di mira Microsoft, la gestione dell'archiviazione dei messaggi non sarebbe sicura a sufficienza e permetterebbe "incursioni".
Il "meccanismo" con cui sarebbe possibile inserirsi negli account di utenti Hotmail è piuttosto complesso, ma c'è chi ha già realizzato tool che sarebbero capaci di individuare facilmente i messaggi di un determinato utente. Tools che sono già disponibili online.

Per poter leggere i messaggi di altri utenti è necessario per prima cosa entrare in una propria casella di posta elettronica su Hotmail, inserendo come sempre nome e password. Da quel momento si ha l'autorizzazione necessaria a leggere qualsiasi messaggio conservato nel sistemone purché si digiti una URL con diversi parametri e sia conosciuto il nome dell'utente che si vuole "spiare".

Su Hotmail infatti, i messaggi vengono conservati con un numero identificativo gestito da un contatore progressivo, che permette facilmente di individuare i messaggi di un determinato utente: partendo, ad esempio, dall'ultimo numero progressivo di ieri, è sufficiente provare tutti i numeri successivi indicando il nome dell'utente che si intende spiare per poter leggere i suoi messaggi di oggi. Se quell'utente non ha un messaggio con il numero provato, Hotmail restituisce un semplice errore ma la ricerca può continuare...

Secondo il gruppo di hacker che ha scoperto la falla, non sarebbe possibile però rispondere in nome di un altro utente o conoscerne la password di accesso. Si possono solamente leggere i messaggi, operazione che in molti paesi, compresa l'Italia, è considerata un reato.

Al momento in cui scriviamo, questa vulnerabilità di Hotmail non sarebbe ancora stata sistemata. Occorre anche sottolineare che al momento Microsoft non ha ancora rilasciato un commento ufficiale, nonostante che della questione si sia occupata persino la britannica BBC.

UPDATE: Hotmail è stato sistemato.
25 Commenti alla Notizia Hotmail, messaggi a rischio?
Ordina
  • Yahoo and Hotmail scripting vulnerability
    Posted on 11.8.2001
    Title: Yahoo/Hotmail scripting vulnerability, worm propagation

    Synopsis

    Cross-site-scripting holes in Yahoo and Hotmail make it possible to replicate a Melissa-type worm through those webmail services.

    Description

    An email is sent to the victim, who uses Yahoo Mail or Hotmail. Inside the email is a link to yahoo or hotmail's own server. The link contains escaped javascript that is executed when the page is loaded. That javascript then opens a window that could nagivate through the victim's inbox, sending messages with the malicious link to every email address it finds in the inbox. Because the malicious javascript executes inside a page from the mail service's own server, there is no domain-bounding error when the javascript is controlling the window with the victim's inbox.

    Who is vulnerable

    Users of the Yahoo Mail and Hotmail service. Although the exploit requires a user to click on a link, two things work for this exploit. (1) The email comes from a familiar user (sent by the worm), and (2) The link is to a familiar, trusted server. Theoretically, more services are vulnerable, due to the proliferation of these holes, but the worm is limited to web mail services.


    By------> Strano
    non+autenticato
  • Messenger/Hotmail passwords at risk
    Posted on 11.8.2001


    Background
    ==========

    i sent the following advisory to Microsoft there is about 1 month of that, and since i did not get any reply. The problem described below is still working on the latest MSN client version currently available. A bug in the Hotmail Messenger cryptographic system may allow the recovery of millions of hotmail mailboxes's password.

    Microsoft MSN messenger is a very handy little win32 application designed to keep in touch with friends, family, collaborators around the world. It offers many nice features like real time chats, hotmail mailbox access, etc...

    Messenger runs with its own protocol to communicate with a bunch of Microsoft dedicated servers and authenticate itself with the same password than hotmail is using (through the global passport system). The password is not sent clearly on the wire but hashed with MD5 in the

    following manner:

    Authentication Scheme
    =====================

    while negociating a connection with a remote Microsoft server, msn clients clearly send the target user mailbox to be authenticated with (basically the username) and get back a scrambler string to be prepend to the password before hashing it and sending it.

    client ----- VER xx MSNP5 MSNP4 CVR0 ---------------> MSN server

    client <---- VER xx MSNP5 MSNP4 CVR0 --------------- MSN server

    client ----- INF (xx+1) ----------------------------> MSN server

    client <---- INF (xx+1) MD5 ------------------------ MSN server

    client ----- USR (xx+2) MD5 I ----------------------> MSN server

    client <---- USR (xx+2) MD5 S yyyyyyyyy.yyyyyyyyy -- MSN server (the scrambler string is actually made with seconds.microseconds)

    client ----- USR (xx+3) MD5 S xxxxx...(32 chars) ---> MSN server

    here it is, the password hash has been sent and may be easily broken by bruteforcing it.

    the hash creation process is as follow:
    ======================================

    say user toto has a password "titan"
    then his client generate the string "yyyyyyyyy.yyyyyyyyytitan" and the according MD5 hash, say xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx. the client send MD5(yyyyyyyyy.yyyyyyyyytitan) on the wire.

    Problem
    =======

    by sniffing the wire, a malicious user can obviously retrieve the scrambler string and the final hash. then he can start a bruteforce session trying all password combinaisons with the same scrambler prepended and comparing the resulting hash with this he previously sniffed. (an exhaustive attack)

    Basically, without any bug, messenger is already vulnerable because of the weak cryptographic scheme it uses.

    Exploit
    =======

    I wrote, with the great help of Simeon Pilgrim, a very fast MD5 bruteforcer designed to use scrambler strings to finally retrieve an original password for a given MD5 hash.

    Currently it takes only 12 days to exhaust all 8 chars length passwords in the charset [a-z0-9] with an average speed of 2 600 000 hashes sec with only one 1 Ghz athlon processor. (i considere to be able to test up to 4 000 000 hashes/sec with the next release and one 1.3 Ghz processor)

    Win32/Unix versions are freely available at http://mdcrack.multimania.com

    Problem 2
    =========

    Another important point is that, if nowadays users can't actually choose a new password lesser than 8 chars length, all old and weak passwords (from 1 to 7 chars) are still in use and just works perfectly with MSN. How many users are currently at risk ? too much for my fingers i bet.

    Problem 3
    =========

    The last point is a nasty bug in the client implementation that allow a malicious user, spoofing the MSN server, to send a (NULL) scrambler string In such a case and intead of simply closing the connection, the client send the mere password hash making things even faster for a further bruteforce attack.

    client <---- USR (xx+2) MD5 S ---------------------- fake MSN server

    client ----- USR (xx+3) MD5 S xxxxx...(32 chars) ---> fake MSN server

    where xxxx...(32 chars) is actually MD5(password).

    Note that if this technic is still stealthy, it may need, in some network topologies, the use of icmp redirect/ arp spoofing to redirect all the flow to the attacker machine inside a given network. But this kind of attacks are well known by networks crackers.

    Note that all communications between clients and servers are in a clear form, and by the way, many other identity robbery attacks remain available for instance, when our victim is asking messenger to open his mailbox, the malicious user may send another URL to the client like a spoofing site with a false hotmail relogging page.

    Conclusion
    ==========

    Because hotmail and MSN are using the same authentication system called passport, compromising users MSN account is finally the same trick than compromising hotmail users mailbox. A malicious user with a freshly hacked MSN password can use it either with messenger or with www.hotmail.com

    Because a tremendous number of people are using these services without taking too much care about their password strongness, the number of potential victims is really great.

    The attack described above can be released from any place in the path between the victim and MSN servers or simply in the same network, this is the mere prerequisite.

    Choose a quite strong password (at least 9 chars length with a good charset) and change it as regularly as possible. Finally, never never trust hotmail and any other web based free accounts for you very own mails.

    By-------> Strano
    non+autenticato
  • ma cosa ci vuole per leggere la posta in hotmail ?hahahahahah



    By---> Strano
    non+autenticato
  • I giornalisti sono sempre i soliti: sparano le notizie senza nemmeno preoccuparsi di controllare quello che scrivono. Vediamo:

    Bastano 30 secondi per leggere, nel sito indicato nell'articolo, "As far as i can tell hotmail has fixed the bug i think...". QUESTA notizia è comparsa su www.root-core.com il giorno prima della sparata di punto-informatico.

    Bastano 10 minuti per seguire il metodo descritto sul sito stesso, e scoprire che in realtà Hotmail chiede la PASSWORD per dare accesso alle caselle altrui. Già da svariati giorni (quando lessi questo metodo su altri siti)

    Conclusione: un'altra occasione persa per fare informazione decente.
    non+autenticato
  • Il problema è che: o non sai l'inglese e quindi non hai capito quello che hai letto
    oppure non sai l'italiano e non hai capito quello che hai letto.

    In effetti esiste anche una terza possibilità: sei un superficialone!
    Ciao, stammi bene!
    non+autenticato
  • > Il problema è che: o non sai l'inglese e
    > quindi non hai capito quello che hai letto

    Tu sei riuscito a leggere un messaggio contenuto in una casella altrui, senza conoscerne la password, seguendo il metodo descritto nel sito in questione?
    Questo thread si chiama "provare per credere", se non l'hai capito. Le minchiate e le polemiche sterili lasciamole ai giornalisti.
    non+autenticato
  • embè...ci vuole un'hacker per leggere le hotmail ?
    mhAaaSorpresa)
    non+autenticato
  • Ma se è vero che la Microsoft ha una falla, xchè non chiude MOMENTANEAMENTE l'accesso ad hotmail?
    X lucro o xchè non sanno neanche loro cosa fare?
    Ve lo dico io! Hotmail è una montagna d denaro che entra nelle casse della Microsoft Corporation. Pensate a tutti gli sponsor che hanno sul sito d MSN!!! Ed invece d pensare alla PRIVACY di coloro che potrebbero SPIATI, ritengo che pensino, + che altro, ai loro interessi personali!! Scusate la crudità delle parole, ma io penso che stia andando così, lì in U.S.A.!
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)