Hackers stalen e-mails uit Hotmail

Microsoft heeft een bug in Hotmail gepatcht waarmee hackers stilletjes e-mails en adresboeken van nietsvermoedende gebruikers stalen. Het lek werd actief misbruikt. De hackers deden dat met kwaadaardige scripts, zo schrijft Karl Dominguez van Trend Micro. Gebruikers van de dienst hoefden geen actie te ondernemen om de exploit op hun account in te schakelen, het openen van de e-mail was genoeg om het script te activeren.

E-mails doorsturen

Eenmaal geactiveerd was het voor de aanvaller niet alleen mogelijk om bestaande e-mails en contacten naar een externe server te uploaden. De aanvallers konden namelijk ook een forward naar een ander e-mailadres instellen met behulp van het script. Alle toekomstige e-mailberichten werden dan ook doorgestuurd.

Het lek werd ontdekt door het Amerikaans-Japanse beveiligingsbedrijf Trend Micro. Zij ontdekten het lek doordat een Taiwanese onderzoeker zelf een besmette e-mail ontving. Deze mail was een, valse, beveiligingswaarschuwing over het Facebook account van het slachtoffer.

Aantal getroffenen is onbekend

De bug zat in de style sheet (css) van Hotmail. Door een karakter in een filtermechanisme van Hotmail in te voeren konden hackers de manier waarop Hotmail zich gedroeg beïnvloeden. De hacker kon daarna via de e-mail allerlei code draaien in de sessie van de Hotmailgebruiker die zijn bericht opent.

Trend berichtte voor het eerst over de bug op 13 mei. Microsoft heeft het gat in de webmaildienst vervolgens gedicht, maar het is onbekend wanneer de softwaremaker dat precies heeft gedaan. Het is eveneens onbekend hoeveel gebruikers geraakt zijn door het beveiligingsprobleem en sinds wanneer Hotmail vatbaar was voor deze aanval.