“Per 20 dollari posso fornirvi l’accesso a qualunque account di posta Hotmail“. È il messaggio che è recentemente apparso su un sito web, ora praticamente irraggiungibile, e che sembra sia stato pubblicato da uno dei membri del forum che raccoglie numerosi individui appartenenti alle varie comunità hacker. Poiché alcuni utenti hanno subito cominciato a lamentare comportamenti anomali del proprio account Hotmail, gli esperti hanno immediatamente ritenuto che vi fosse una vulnerabilità nel celeberrimo servizio di posta elettronica messo a disposizione gratuitamente da Microsoft.
Una conferma è arrivata dal ricercatore Benjamin Kunz Mejri, che ha indagato sul problema, e successivamente dagli stessi tecnici di Microsoft. Secondo Kunz Mejri, la lacuna di sicurezza risiedeva nel meccanismo che Microsoft offre per la reimpostazione della password associata agli account Hotmail. In uno dei passaggi di verifica espletati dai server del colosso di Redmond, spiega lo studioso, la procedura di azzeramento della password verificava la presenza di uno speciale token (una sorta di “lasciapassare”) nella richiesta trasmessa dal browser dell’utente ma non il suo contenuto.
Iniettando una sequenza di caratteri speciali all’interno del token, aggiunge Kunz Mejri, gli aggressori sono stati in grado di prendere il controllo di qualunque account fosse stato preso di mira.
Secondo quanto riferito, i malintenzionati avrebbero attaccato numerosi account di posta Hotmail semplicemente richiedendo il reset della password quindi intercettando e modificando il link restituito dal server Microsoft. Allo scopo è stato generalmente utilizzato un componente aggiuntivo per Mozilla Firefox, liberamente scaricabile, chiamato Tamper Data.
La definitiva risoluzione del problema è stata confermata da Microsoft attraverso un messaggio pubblicato su Twitter. Secondo gli analisti, milioni sarebbero stati i potenziali account Hotmail oggetto dell’aggressione ma non è dato sapere quanti siano stati effettivamente compromessi.