Lek in Windows Live laat mensen met vals mailadres chatten
Door een fout in het registratiesysteem van Windows Live is het mogelijk om met andermans mailadres chatgesprekken te voeren.
Door een fout in het registratiesysteem van Windows Live is het mogelijk om met andermans mailadres chatgesprekken te voeren.
Lek in Windows Live laat mensen met vals mailadres chatten
Door een fout in het registratiesysteem van Windows Live is het mogelijk om met andermans mailadres chatgesprekken te voeren.
Zo heeft de Webwereld-redactie het e-mailadres steveballmer@microsoft.nl weten te registreren. De fout werd ontdekt door php-expert Erik Duindam. "Iedereen kan door deze fout elk willekeurig e-mailadres registreren", zegt Duindam tegenover Webwereld.
Om iemand anders zijn e-mailadres te registreren moet de gebruiker eerst een bestaand e-mailadres registreren waarop hij ook echt e-mail kan ontvangen. Door vervolgens met dat mailadres in te loggen en een verificatiemail van Microsoft op te vragen, kan de echtheid van het mailadres worden bewezen. Als iemand echter eerst zijn mailadres wijzigt en dan pas op de bevestigingslink klikt, dan wordt het 'valse' mailadres bevestigd.
De gebruiker heeft dan met succes het e-mailadres weten te registreren en is in staat om vanaf dat e-mailadres bijvoorbeeld een chatgesprek te voeren. De fout in de registratieprocedure heeft verstrekkende gevolgen, omdat het op deze manier mogelijk is voor mensen om zich voor te doen als iemand anders.
Duindam, die al van jongs af aan bezig is met computers, ontdekte de fout omdat hij een typefout maakte toen hij een Live ID wilde aanmaken voor zijn bedrijfsmail.
"Ik programmeer voornamelijk technische systemen voor websites, soortgelijk aan de login-procedure van Windows Live, daarom interesseert deze fout me ook erg, omdat ik zie dat ik dat zelf nooit moet doen", aldus Duindam. "Als ik zo'n cruciale fout zou maken in de websites die ik bouw zou ik terstond al mijn klanten kwijt zijn. Het lijkt erop dat de verantwoordelijke programmeurs bij Microsoft hebben zitten slapen tijdens het ontwikkelen."
Robert de Moll van Microsoft laat weten dat het lek onder de aandacht is gebracht bij verantwoordelijke medewerkers van Microsoft Nederland. Microsoft was echter nog niet in staat om te reageren.
Eerst hadden ze Rotmail dat om de haverklap zijn berichten weggooit, een messengere die naadje is en nu hebben ze Live, wat misschien ten dode opgeschreven is.... Wanneer neemt Microsoft de mensen eens serieus door goede software te leveren, die getest is en foutvrij is? Van de Leader in Business mag je dat toch wel verwachten.
De PR mannetjes zijn ook weer aanwezig. Martin, werk jij voor Microsoft?
Wwaarom, denk jij, dat je geen fictief adres meer op mag geven? Wat zou de reden zijn. En, dat het nu wel gecontroleerd wordt? Even denken... uhhh... spammers registreren anders honderden MSN IDs (zoals ook bij webfora gebeurd). Of, misschien, omdat anders een eikel jouwnaam@domain.nl registreert en zich als jou voordoet? Oh ja! Hey, spoofing. Het was dus verstandig om dat systeem te veranderen, dit is zeker geen 'klein lekje' (zie ook hierboven), en de programmeerfout is erg dom te noemen.
Volgens mij ligt 'ie er nu serieus uit:
====
Deze link is niet meer geldig
De link die u per e-mail heeft ontvangen, is verlopen of u heeft de link al gebruikt. Als u uw e-mailadres nog moet bevestigen, kunt u in Windows Live Account een nieuwe e-mail met een nieuwe link laten verzenden.
============
Ik zie het probleem niet, een paar jaar geleden kon je nog gewoon een fictief adres opgeven, en werd deze meteen geaccepteerd. Tegenwoordig wordt het wel gecontroleerd, alleen zit daar nu dan ff een klein lekje in...
Dat ben ik niet met je eens: Microsoft heeft ontwikkeling in werkgroepen per product EN per onderdeel opgesplitst. Aan Excel bijvoorbeeld werken 138 mensen, en 1 is -uitsluitend- verantwoordelijk voor het open en het save knopje!! (Vraag me overigens af hoe je daar langer dan 1 dag per jaar werk aan kunt hebben, maar dat terzijde).
Deze fout (die nog steeds bestaat als je even doorzet) kost een aanpassing van 2 minuten als je een BEETJE structureel hebt ontwikkeld: 2 programmaregels zouden voldoende moeten zijn....
en dat kan dus ECHT binnen een kwartiertje! Wij onderhouden met z'n vieren een giga aantal scripts, Microsoft heeft iets meer mensen in dienst...
Laten we het nu ook niet gaan bedrijven. Iedereen die een beetje actief is in de ict weet dat je bij het fixen van een bug niet binnen een dag een release kunt doen. Na het uitbrengen van een patch is het zaak om hem goed te testen om zeker te zijn dat deze geen fouten bevat. Bevat deze wel een fout dan wordt dit zeker weer zo groot uitgemeten dat het tot meer gezichtsverlies leidt. Het is dus geen zaak van even wat code wijzigen, maar het hele proces moet aangepast worden. Documentatie gewijzigd, opnieuw getest, en ga zo maar door...
Ook andere bedrijven zullen hier op grote schaal moeite mee hebben.
Ja maar het is nog onverantwoord hele uitleg te gaan publiceren.
Het zou hetzelfde zijn als je weet dat je bij je buren de deur kan openen met een naald dit vervolgens meld bij de buren.
De buren hebben er nog niks aan gedaan en vervolgens je de hele stad gaat vertellen stap voor stap hoe je bij je buren met een naald de deur kan openen.
Microsoft reageert altijd veel te traag bugmeldingen. De enige bugmeldingen die ze 'snel' weten op te lossen zijn bugmeldingen die zelf intern lange tijd 'onder de pet' houden en pas tegelijk met de fix bekend maken. MS en beveiliging gaan niet samen in een zin zonder ontkenning. Het enige dat Microsoft succesvol weet te beveiligen is het marktaandeel.
Microsoft heeft de tijd gekregen maar zei dat men in Amerika nog niet wakker was. Daarna hebben ze aangegeven het binnenkort te zullen bekijken. (uit betrouwbare bronnen vernomen)
Heb je het artikel wel gelezen?
Allemaal leuk en aardig maar je hebt hier dus net niets aan...
Als je de procedure mooi doorloopt zoals het hierboven staat kun je je inderdaad op msn aanmelden maar voor de mensen die niet meer helemaal wakker zijn: je dient je mail nogmaals te bevestigen anders krijgen je contactpersonen "email@adres.nl e-mail address not verified" te zien.
Aangezien je bestigingsmailtje mooi naar een niet bestaand mailadres wordt gestuurd en je dus nooit dat mailtje kunt bevestigen zal je account naar een bepaalde tijd gewoon naar het archief (lees vuilnisbak) gaan.
maar was wel leuk geweest als het werkte
En dan zeggen de MS adepten dat Linux moeilijk is.....
Erg slecht dan om ook nog deze fout helemaal te gaan omschrijven op een nieuwssite?
Misschien microsoft eerst de kans geven dit te fixen voordat iedereen andermans e-mail gaat jatten?
Het gaat per slot om prive gevoelige informatie.
Beetje ondoordacht dit publieke te vermelden.
Het lukt mij niet (meer). Ik krijg wel de link, maar kan mijn e-mail daar nou niet echt in ontdekken, dus ik denk dat ze de fout opgelost hebben.
Waarschijnlijk niet, maar dit is gewoon zo'n ongelofelijke stomme fout! Ik vraag me af hoe ze het überhaubt verifiëren, want normaal gesproken doe je dat met een database met het e-mail en de verificatiecode. Het lijkt me duidelijk dat ze dat hier niet hebben gedaan, anders zou dit niet kunnen.
het lukte hier net nog prima
feisty-fawn@microsoft.com ;)
lekker makkelijk praten heb jij. Ik wed dat jij dit al wist voordat het op webwereld zat?
Zie:
http://www.nucia.nl/forum/showpost.php?p=254592&postcount=7
Aanpassing in .NET-messengerservice.
Het gaat niet bij mij ... ik ben overal uitgelogd en toch zegt hij dat het een ongeldig adres is ?
hmmm. ik probeer het, maar volgens mij werkt het niet meer.... Of ik doe iets fout? Ik heb mijn email gewijzigd, maar hij geeft dan een fout dat ik een verkeerd email adres confirm..
ja het komt meschien wel vaker voor maar dan moeten ze niet zo zitten te slapen door bij micorsoft want zijn echt domme fouten
Goed zo.
Een prachtige oplossing voor het nieuwsgierige en opdringerige gedrag van Microsoft, die alle privacy-regels aan zijn laars lapt.
Ik hoop dat er nog veel meer van deze oplossingen gevonden worden. Work-arounds is ook een heel toepasselijk woord.
Dit soort dingen komen wel vaker voor en na jaaren worden ze soms gevonden, maar vaak worden ze wellicht nooit gevonden.
het sessiemanagement zit meestal wel veilig in elkaar, maar bij de toepassing ervan gaat het vaak fout.
Alles wat van de gebruiker komt mag nooit worden vertrouwd.
Dat hoop ik niet, want mijn messenger adres bestaat al sinds jaren niet meer. Die zou ik dan kwijt zijn. Ik wil er helemaal niet mee mailen.
it is een groote fout van microsoft goed zo neef dat je het hebt gevonden :d mijn complimenten
Aanvulling: kom er net achter door even te zoeken dat Microsoft gewoon ontkent dat het speciale deel van Live voor de Xbox een security breach zou hebben (Microsoft denied Xbox Live Security Breach).
Begrijp ik nou goed dat door deze fout ook alle Xbox gebruikers een probleem hebben?????
Wat belangrijk is, is dat je steeds uitlogt, dus na het aanmelden de eerste keer EN na het wijzigen, anders doet 'ie het niet. (en gewoon om een nieuwe bevestigingsmail vragen, anders kun je je e-mail adres niet wijzigen!)
Het is echt boek 1 hoofdstuk 1 kleuterschool programmeren wat ze gedaan hebben!
Die Erik Duindam heeft helemaal gelijk: ze hebben een beetje zitten slapen daar! Blijkt inderdaad goed te werken, en Microsoft heeft een HUGE problem nu, want de afgelopen periode moet dat al eerder misbruikt zijn. De enige methode is dus om iedereen een mailtje te sturen om opnieuw te bevestigen dat ze over het e-mail adres kunnen beschikken.
Wat een afgang voor zo'n club...
Iedereen weer gewoon aan zijn werk?
Ik vraag me af wat er met het oude adres gebeurt als een adres vaker wordt geregistreerd? Heb nu geen zin om dat te gaan testen.
Je begrijpt het verkeerd.
Het gaat om het gebruiken van een al bestaand mailadres buiten het live.nl of hotmail.com domein, dus is het sowieso zonder e-mail.
Nee, dan moet je even opnieuw uitloggen of inloggen of opnieuw proberen. Het is er nog niet uit, ik test het net, en het werkt.
Onjuist e-mailadres
Het e-mailadres waarmee u zich heeft aangemeld, komt niet overeen met het adres dat u bevestigt. Klik op Doorgaan om u af te melden en meld u vervolgens aan met het onderstaande e-mailadres.
Is het eruit?
Zoals ik het dus begrijp registreer je dus gewoon een Live account maar kun je daar als registratieadres een vals adres opgeven ?
Het is dan echter een account zonder Live mail/hotmail.
Je kunt dus dat email adres niet gebruiken om te mailen of mail te ontvangen via Live mail omdat je daarvoor een hotmail/live email adres nodig hebt.
Het is dus beperkt afzenderspoofing in Live messenger.
Nee, daar zat absoluut niet de fout. De fout is dat de hash in de mail gekoppeld is aan je account ID en niet aan een e-mailadres.
De fout lijkt er al weer uit te zijn; het mailadres komt tenminste niet meer voor in de registratie URL en ik neem aan dat hier de fout zat??
Wat een blamage. En dan lopen Wintendo adepten te huilen over een (zogenaamd) slechte Safari Beta (pwaaa, had nooit uit mogen komen, is Alpha, bwuhahaha).
Het werkt echt! Wel erg vreemd van Microsoft. Ik ben benieuwd wat ze eraan gaan doen.
Reageer
Preview