Llegamos a ustedes gracias a:



Noticias

Roban mensajes de Hotmail gracias a una falla web

[26/05/2011] Durante más de una semana los hackers han podido robar mensajes de correo electrónico desde cuentas de usuarios de Hotmail, gracias a un error de programación en el sitio web de Microsoft.

Esta falla dio a los hackers la posibilidad de leer y robar los mensajes de correo electrónico de usuarios de Hotmail y, según Trend Micro, eso es exactamente lo que hicieron. De hecho, esta empresa de seguridad asegura que incluso se enviaron mensajes especialmente diseñados a varios miles de víctimas.
Fue el pasado 12 de mayo cuando Trend Micro localizó un mensaje enviado a una víctima de Taiwán que se parecía a una alerta de notificación de Facebook. El mensaje, escrito en chino, parecía alertar a las víctimas de que alguien había accedido a sus cuentas de Facebook desde una nueva ubicación.
De hecho, se trataba de una trampa, ya que, dentro del mensaje de correo electrónico, se encontraba una secuencia de comandos especialmente escrita para que reenviara los mensajes de e-mail de la víctima al hacker.
Para que el ataque funcione, la víctima tenía que estar registrada en Hotmail, pero bastaría con una vista previa del mensaje para que esta secuencia de comandos cumpliese su misión, gracias a un error común de programación web, llamado error de cross-site scripting.
"El script desencadena una solicitud que se envía al servidor de Hotmail", explica Trend Micro en un blog en el que describe el problema. A continuación, "envía todos los mensajes de los usuarios afectados a una determinada dirección de correo electrónico".
Las fallas tipo cross-site scripting son fáciles de encontrar en la web, pero son raros en sitios web importantes y ampliamente utilizados, como Windows Live Hotmail.
Trend Micro comunicó el problema a Microsoft inmediatamente, quien solucionó la falla el viernes, según Microsoft. No está claro cuántos usuarios de Hotmail se vieron afectadas por el ataque.
Según Trend Micro, el ataque no parece haber sido generalizado. La compañía fue capaz de contar entre mil y dos mil víctimas después de descubrir el problema, según Jamz Yaneza, un gerente de investigación de Trend Micro. Sin embargo, Trend Micro no tiene manera de saber durante cuánto tiempo estuvo la falla antes de que fuera descubierto.
Robert McMillan, IDG News Service