Via een lek in webmaildienst Hotmail konden inbrekers wekenlang ongestoord willekeurige accounts kapen. Microsoft komt met een reparatie, maar de schade is al geschied.

De gevaarlijke bug zat in de reset-functionaliteit van Hotmail, waardoor aanvallers met hulp van de Firefox-extensie Tamper Data wachtwoorden opnieuw konden instellen. Volgens Naveen Thakur van de website Whitec0de.com onderschept deze extensie uitgaande HTTP-verzoeken in de Firefox-browser.  Wanneer een nieuw wachtwoord werd aangevraagd via de Hotmail-resetfunctie, kon het wachtwoord onderweg worden aangepast.

De truc is blijkbaar al weken bekend in de hackersgemeenschap en leidde tot een onderlinge prijsoorlog, waarbij cybercriminelen al voor 20 dollar aanboden om een Hotmail-account naar wens te kraken. De truc is blijkbaar zo simpel dat sommigen zelfs YouTube-instructievideo’s online hebben geplaatst.

Microsoft heeft de kwetsbaarheid afgelopen vrijdag in alle stilte gerepareerd, maar het is nog onbekend hoeveel accounts zijn overgenomen. Onderzoekers van Vulnerability Lab kwamen het probleem echter al op 6 april op het spoor en schakelden onmiddelijk Microsofts Security Response Center in.

Het is eenvoudig om te ontdekken of je het slachtoffer bent geworden van deze hack, omdat getroffen gebruikers geen toegang meer krijgen met hun oude wachtwoord. Kwetsbaarheden in Hotmail kunnen gevaarlijk zijn, omdat Microsoft steeds meer kwetsbare en financiële gegevens koppelt aan zijn Windows Live ID in aanloop naar de lancering van Windows 8.