Хакеры украли письма с Hotmail благодаря ошибке на сайте Microsoft

Благодаря ошибке на сайте Microsoft, преступникам удалось воровать письма с аккаунтов Hotmail в течение целой недели.

12 мая компания Trend Micro обнаружила сообщение, отправленное на ящик жертвы из Тайваня. Сообщение выглядело как уведомление от FaceBook. Письмо предупреждало жертву о том, что кто-то получил доступ к её аккаунту на FB.
На самом деле, в письмо был внедрен скрипт, который затем пересылал хакерам все e-mail`ы жертвы.
Чтобы скрипт сработал, было необходимо, чтобы жертва была залогинена в свой аккаунт на HotMail. Скрипт запускался даже при обычном предосмотре содержания письма.
Атака оказалась удачной, потому что на сайте Microsoft имела место общая ошибка веб-программирования — межсайтовый скиптинг.

«Скрипт создает специальный запрос, отправляемый на сервер Hotmail. После чего он пересылает все сообщения жертвы на определенные адреса электронной почты», — уточняется в блоге TrendMicro.

Вообще, такие ошибки, как межсайтовый скриптинг, часто встречаются в Сети, но на таких важных и широко используемых сайтах, как Windows Hotmail — очень редко.

Trend Micro сразу же сообщила об этом Microsoft. Пока не ясно, сколько пользователей Hotmail пострадали от атаки.
По данным Trend Micro, атака была не очень распространена. Жертв будет примерно 1000 — 2000, сказал Jamz Yaneza, эксперт Trend Micro.
Однако, добавил он, Trend Micro понятия не имеет, как давно на сайте существовала эта уязвимость.

На данный момент уязвимость исправлена.

25 мая 2011
http://habrahabr.ru/blogs/infosecurity/119951/