Uma nova vulnerabilidade no Hotmail, serviço de e-mail da Microsoft, foi descoberta no começo deste mês e acabou sendo explorada por vários hackers na semana passada. A ameaça, que foi corrigida pela empresa no final de semana, permitia que qualquer pessoa mal intencionada mudasse a senha de contas do correio eletrônico. Isso sem precisar responder a perguntas de confirmações ou usar a senha antiga.
A falha estava na página de envio de um link para redefinição de senha. Ao acessar a página “Esqueci minha senha”, o usuário deve inserir a conta e, logo depois, confirmar o e-mail secundário cadastrado. Essa página envia uma requisição ao servidor que pode ser alterada por uma extensão do Firefox, a Tamper Data. Dessa forma, era possível enviar o link para outro endereço de correio eletrônico que, se for controlado por uma pessoa mal intencionada, daria acesso a conta “atacada”.
A vulnerabilidade foi descoberta por um hacker árabe no começo deste mês, mas ao ser divulgada em um fórum de hackers ela acabou sendo explorada cada vez mais. Pelo menos até a Microsoft descobrir e corrigir a falha. A empresa, até agora, não emitiu nenhum comunicado oficial sobre essa ameaça.
