Koud kunstje in Hotmail

Het beveiligingslek is in elk geval aangetoond bij Hotmail, de gratis service voor elektronische post van Microsoft met naar eigen zeggen 8 miljoen actieve gebruikers.

De bug in Hotmail maakt het mogelijk om aan een gebruiker een e-mail te sturen met daarin een JavaScript, dat de interface van de e-maildienst naäapt. Zodra het bericht door de abonnee wordt geopend vraagt de namaak-Hotmail hem om zijn gebruikersnaam en wachtwoord opnieuw in te voeren. Als dat is gebeurd, kan de gebruiker weer gewoon verder corresponderen met Hotmail - maar het applet stuurt zijn gegevens in het geniep door naar de afzender van het bericht.

De bug is aan het licht gebracht door Canadese webprogrammeurs van het bedrijf Specialty Installations. Op hun website geven ze een demonstratie.

De Canadezen melden dat het beveiligingslek door hackers kan worden benut, omdat Hotmail zijn abonnees toestaat `verrijkte' e-mail - berichten in HTML-opmaak - te versturen. Daardoor kan via een ingebouwd JavaScript in de e-mail worden geactiveerd.

Specialty Installations raadt Hotmail-gebruikers dan ook aan om JavaScript uit te schakelen in hun browser.

Het is één van de oplossingen die Microsoft overweegt voor Hotmail. Op de website van de e-mailservice wordt overigens geen melding gemaakt van de bug. Medewerkers van het bedrijf zijn druk doende om het lek in de beveiliging te dichten.

Wie eenmaal toegang heeft tot het Hotmail-account van een gebruiker kan ook diens andere postbussen inkijken. Hotmail biedt namelijk de mogelijkheid om berichten te lezen op een extern POP3-account, zoals de meeste providers aanbieden aan hun gebruikers.

Na de bekendmaking door Specialty Installations zijn ook andere gratis e-mailproviders een onderzoek begonnen naar mogelijke gevaren van met JavaScript `verrijkte' berichten: het gaat om Netscape Webmail, NetAdress en AmExMail, een service voor gebruikers van American Express.