La plataforma de correo de Microsoft, ha sufrido en los últimos días un grave problema de seguridad que afortunadamente ya ha sido corregido. Un grave fallo de seguridad de la plataforma Hotmail, permitía a cualquiera resetear el password de cualquier cuenta y través de ello conseguir el control de la cuenta, Microsoft tras ser informada días después de descubrirse la vulnerabilidad, ha corregido el sistema para que no pueda seguir siendo explotada.
Investigadores de Vulnerability Lab descubrieron el fallo el pasado seis de Abril, pero no informaron a Microsoft hasta el día 20 y según comentan la vulnerabilidad ya había sido originalmente identificada por un hacker saudí con anterioridad. Durante los primeros días el exploit estaba bastante controlado y se ofrecía el crackeo de cuentas a 20$ pero en un momento determinado comenzó a expandirse, aparecieron tutoriales y ataques por fuerza bruta a direcciones de correo con 2 y 3 caracteres.
Además de estos ataques por fuerza bruta, otras direcciones específicas han podido ser comprometidas, por lo que no está de más que ahora mismo comprobéis vuestras cuentas.
El sistema de reseteo de contraseñas usa un sistema de tokens para asegurarse que solo el propietario de la cuenta pueda resetearlo. El proceso consiste en enviar un link con el token a una cuenta de correo relacionada, por lo que clickando en el nos permite resetear nuestra contraseña. Lamentablemente el proceso de validación de tokens no estaba siendo correctamente tratada, por lo que cualquiera podía acceder al reseteo.
En un momento en el que la plataforma Live volvía a recuperar usuarios grácias a Skydrive, este problema de seguridad es una pésima notícia para la imagen pública de la compañía, habrá que ver como reaccionan los usuarios antes estos acontecimientos.