Hackers stalen e-mails uit Hotmail

Hackers konden door een bug in Hotmail eenvoudig e-mails en adresboeken van nietsvermoedende gebruikers stelen. Microsoft heeft het probleem inmiddels opgelost.

Microsoft heeft een bug in Hotmail gepatcht waarmee hackers stilletjes e-mails en adresboeken van nietsvermoedende gebruikers stalen. Het lek werd actief misbruikt. De hackers deden dat met kwaadaardige scripts, zo schrijft Karl Dominguez van Trend Micro. Gebruikers van de dienst hoefden geen actie te ondernemen om de exploit op hun account in te schakelen, het openen van de e-mail was genoeg om het script te activeren.

E-mails doorsturen
Eenmaal geactiveerd was het voor de aanvaller niet alleen mogelijk om bestaande e-mails en contacten naar een externe server te uploaden. De aanvallers konden namelijk ook een forward naar een ander e-mailadres instellen met behulp van het script. Alle toekomstige e-mailberichten werden dan ook doorgestuurd.

Het lek werd ontdekt door het Amerikaans-Japanse beveiligingsbedrijf Trend Micro. Zij ontdekten het lek doordat een Taiwanese onderzoeker zelf een besmette e-mail ontving. Deze mail was een, valse, beveiligingswaarschuwing over het Facebook account van het slachtoffer.

Aantal getroffenen is onbekend
De bug zat in de style sheet (css) van Hotmail. Door een karakter in een filtermechanisme van Hotmail in te voeren konden hackers de manier waarop Hotmail zich gedroeg be´nvloeden. De hacker kon daarna via de e-mail allerlei code draaien in de sessie van de Hotmailgebruiker die zijn bericht opent.

Trend berichtte voor het eerst over de bug op 13 mei. Microsoft heeft het gat in de webmaildienst vervolgens gedicht, maar het is onbekend wanneer de softwaremaker dat precies heeft gedaan. Het is eveneens onbekend hoeveel gebruikers geraakt zijn door het beveiligingsprobleem en sinds wanneer Hotmail vatbaar was voor deze aanval.