Архив

Подарок от Hotmail за ответ на «секретный вопрос»

Информационный портал Newsbytes сообщает об очередной дыре в системе безопасности службы Hotmail, пользователями которой на сегодняшний день являются 200 миллионов человек. На сей раз уязвимость дает хакеру прекрасную возможность без особой сложности одурачить всю систему безопасности Hotmail, разработанную экспертами корпорации Microsoft. Любой желающий теперь может запросто обойти все вопросы, которые задаются пользователям перед переустановкой их паролей.

Процедура ответа на ряд специальных вопросов в том случае, если вы забыли свой пароль, хорошо всем известна. Вам предлагают вспомнить и внести в специально для этого случая предназначенную форму свой e-mail адрес, страну, национальность, год рождения и массу подобного рода характеристик вашей единственной и неповторимой личности. В том случае, если вы на этом этапе все сделали правильно, необходимо вспомнить ответ на так называемый «секретный вопрос», которые вы выбрали при регистрации в почтовой службе. Скажем, какая девичья фамилия у вашей матери или ваша любимая порода кошечек.

Новая дырка в Hotmail дает злоумышленнику шанс перескочить через заполнение этой формы и идти прямиком к ответу на ‘секретный вопрос’, откуда уж рукой подать до переустановки пароля пользователя.
Согласно источникам Newsbytes, с момента обнаружения данной уязвимости, порядка двух недель назад, небольшая группа хакеров не поленилась терпеливо проанализировать весьма объемный список пользователей и вычислила наиболее вероятные варианты ответов на секретный вопрос. Скажем, те пользователи, которые в качестве секретного вопроса при заполнении регистрационной формы выбрали «What’s my favorite color», могут столкнуться с тем, что их пароль перестанет работать.

Однако проблема безопасности не ограничивается одной почтовой службой. Hotmail аутентификация также автоматически подписывает пользователя к другим службам Microsoft, таким как .Net Passport (служба, которая допускает пользователей к автоматической передаче персональной и финансовой информации приблизительно 100 участникам коммерческих веб-сайтов). Вооружившись подписью пользователя Hotmail, злоумышленник может делать покупки в он-лайновых магазинах, производить оплату со взломанного счета Hotmail-пользователя и т п.


Анна Григорьева

Подарок от Hotmail за ответ на «секретный вопрос»

Ваш e-mail не будет опубликован.

 

Отчеты

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике