Hotmail-experiment sneuvelt na gehackt account
Een redacteur van PC Pro die twee weken Hotmail wilde proberen om te controleren of Microsoft de dienst verbeterd had, moest uiteindelijk toezien hoe een hacker er met zijn account vandoor ging. De aanvaller had vervolgens iedereen in het adresboek een link naar een kwaadaardige website gestuurd. De problemen voor Barry Collins waren nog niet voorbij, aangezien zijn Gmail-account aan het gehackte Hotmail-account was gekoppeld.
"Ik kan Hotmail gewoon niet meer vertrouwen. En wat nog erger is, is dat niet alleen mijn webmail is gehackt, maar mijn Xbox login, die mijn creditcardgegevens bevat en de login voor mijn computer. Omdat Windows 8 je praktisch dwingt om in te loggen met je Windows Live/Hotmail details om toegang tot functies zoals de Metro Store, synchronisatie en SkyDrive te hebben."
Wachtwoord
Het is onduidelijk hoe de aanvaller toegang tot het account heeft gekregen. Microsoft patchte op vrijdag 20 april een zeer ernstig beveiligingslek in Hotmail, dat op 6 april was gerapporteerd. In de tussentijd hebben aanvallers misbruik van de kwetsbaarheid gemaakt om Hotmail-accounts over te nemen.
Of deze methode is gebruikt om het account te kapen staat niet vast. Het enige wat wel zeker is, is dat Collins een zwak wachtwoord gebruikte. Hij verklaart dat hij een wachtwoord van zeven kleine letters gebruikte dat niet in het woordenboek voorkomt, maar deels acroniem en deels zelfstandig naamwoord is.
De gevolgen van deze hack zijn verstrekkend ... Ik las ergens dat er 360 miljoen (ik herhaal: driehonderdzestig miljoen!!)
Hotmail gebruikers zijn ...
ALLE websites waar mensen zich hebben geregistreerd met Hotmail account(s) en waar het password reset
mechanisme gebaseerd is op/gebruik maakt van het geregistreerde email adres is potentieel de sjaak !!
Oftewel onbevoegden die via dit lek ingebroken hebben in Hotmail accounts konden ook wachtwoorden resetten
op ALLE websites waar hotmail gebruikers hun email adres tijdens registratie hebben opgegeven en waar het
password reset mechanisme gebaseerd is op/gebruik maakt van het geregistreerde email adres.
En ik maar denken dat het na de recente hack van Humannet niet erger kon ... (Wat overigens ook geen
misselijke hack is. En dan heb ik het nog niet eens gehad over de "professionele" reactie van IT-bedrijf
VCD toen een medewerker van Zembla op de stoep stond om hen in te lichten ! Ze belden de politie en
meneer werd afgepoeierd !!!! Ja echt waar !!! Kijk zelf maar naar de uitzending van Zembla.)
Who's next ... kwestie van tijd.
Tering zeg... is het al zo erg tegenwoordig ?
Van de andere kant: in m'n vorige baan was MSN Messenger de norm voor interne communicatie, maar ik had een ervaren windows-beheerder nodig om me te laten zien hoe je een MSN-account aanmaakt wat niet op '@hotmail.com' eindigt. De mogelijkheid hebben ze heel goed weggestopt. Wat inhoudt dat voor het overgrote deel van de gebruikers inhoudt dat MSN=Hotmail, en natuurlijk met hetzelfde wachtwoord.
Dat zal met SkyFloppy en Windows8 niet eenvoudiger worden, en dus een veel groter attack-surface opleveren. Lek in SkyDrive is gevaar voor je hotmail, msn en lokale desktop.
Helaas wel, puntje wat me zeer tegenviel in de customer preview.
Dat en alle eerder genoemde minpunten.
Geloof ook niet dat het aan zal slaan op desktop computers als ze de customer preview niet enorm gaan veranderen.
Ik meen gisteren hier toch echt een post gedaan te hebben over de ernst van deze hack en de gevolgen voor vele websites.
In mijn optiek kan het niet zo zijn dat een post met informatie die in het belang is van iedere security expert niet wordt geplaatst simpelweg omdat OOK jullie website de aangehaalde nadelige gevolgen kan ondervinden.
Dus. Ik verwacht gewoon mijn post hier op korte termijn te zien en een welgemeend excuus voor deze censuur dwaling.
Er zijn overigens legio andere mogelijkheden om security.nl bezoekers te informeren van dit feit.
Als het niet kan zoals het moet dan moet het maar zoals het kan.
Met verbaasde groet,
Een pissed off security.nl lezer.
Het is onbegrijpelijk dat MS dit zo aanpakt. De eerste account zou local moeten zijn. Het is wel zo dat het MS account wachtwoord wel gecached wordt. Als je geen internet hebt kan je nog inloggen. Maar indien je Live/Hotmail wordt gehacked wordt veranderdt het verhaal. That said : De Collins (pcpro) hack heeft waarschijnlijk niets te maken met het beveiligingslek in hotmail, want zijn account werdt niet overgenomen. En hij gebruikte over alle diensten hetzelfde 7 letters wachtwoord.
Zijn computer was gewoon geinfecteerd met een Remote Administration Tool of een keylogger of hij is gephist.
Hotmail accounts worden zelden 'gehackt' aangezien dat inhoud dat je eerst Microsoft's servers moet binnen hacken om bij de database te komen en vervolgens de wachtwoord nog weten te cracken aangezien deze gehast zijn.
Dit artikel laat weer een slechte kant zien van Microsoft terwijl on ze vriend Barry Collins zijn eigen zaakjes niet op orde heeft.
Pff als deze post ook wordt verwijderd net als bij 1 van mijn mede lezer hier boven dan is dat opnieuw censuur en zal ik deze website ook niet meer bezoek gr..
Ik weet echter zeker dat ik op dat moment geen keyloggers, RA tools of Phishing mails heb gehad vooraf.
Het lijkt er dus toch op dat Hotmail misbruiken volkssport nummer 1 is onder hackers.
kennelijk laat Hotmail iets teveel toe, waardoor het brute forcen van accounts te gemakkelijk is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.