Et alvorligt sikkerhedshul hos freemail-tjenesten MSN Hotmail giver fri adgang til alle e-mails. På flere europæiske websites kunne man i dag læse, at det er muligt at hente fremmede mails med minimalt besvær hos Hotmail.
Det eneste som kræves for at udnytte sikkerhedshullet er en Hotmail-konto, offerets e-mail adresse og en speciel formateret URL, som skal indtastes i browserens adressebjælke. Derefter er der fri adgang til at hente alle breve, som ligger i den pågældende persons indbakke hos Hotmail.
For at udnytte sikkerhedshullet skal man på forhånd være logget ind hos Hotmail. I et andet browser-vindue skal man kopiere en specielt formateret URL. På et bestemt sted i URL'en skal angriberen indsætte ofrets login-navn, som hentes fra e-mail-adressen - hvis adressen eksempelvis er bruger@hotmail.com, så er login-navnet "bruger".
Det er også nødvendigt at kende ID-nummeret for den besked, som man ønsker at hente. ID'en består af 10-11 cifre og bliver tildelt i sekventiel rækkefølge. Angriberen kan enten gætte sig til ID'en eller anvende et "brute force" program, der tester alle mulige ID-numre.
Sikkerhedshullet giver derefter adgang til hele beskeden - uden at angriberen behøver at kende kodeordet.
Microsoft kan i skrivende stund hverken bekræfte eller afvise sikkerhedshullet.
(Kilde: Internet World)
