El segundo fallo de seguridad aparecía a media mañana de hoy día 30 y no fue solucionado hasta las 1:45 p.m. PT.
Expertos de seguridad dicen que donde hay dos fallos de seguridad en las claves de acceso a los buzones seguramente debe haber más, y han criticado la decisión de Microsoft de precipitarse diciendo que el fallo había sido solucionado.
Microsoft desconectó HOTMAIL por unas dos horas, despues de haber sido alertado de que dos sitios web ( uno en Reino Unido y otro en Suecia ) permitían el acceso de cualquiera a las cuentas de correo on-line de su servicio sin necesidad de introducir las contraseñas de acceso. Sólo era necesario conocer el nombre de la cuenta de correo ( identificador antes de «@hotmail.com» ) para poder acceder a la cuenta, leer el correo en algunos casos y usarla sin ningún problema en otros, dependiendo de la configuración de la misma.
A pesar de que hay quien creyó que era un error generalizado en toda la red, el fallo sólo se podía usar en un servidor concreto de HOTMAIL.
«El fallo se pudo reproducir, porque Microsoft fracas¢ solucionando el problema en otro servidor diferente.» ha dico Deanna Sanford Jefa de ventas del desarrolo de productos de Microsoft Network.
Fueron varios lectores de CNET News.com los que descubrieron el segundo fallo de seguridad.
Inicialmente se culp¢ del hecho a Michael Nobilio autor del c¢digo el 7 de Junio de 1998 que gestionaba las claves del servidor de Reino Unido y Suecia («Hotmail Login ID Storage Program 1.1»)pero expertos de seguridad han apuntado al hecho de que el c¢digo hab¡a sido modificado.
«Lo que ha ocurrido es que es un scrip de verificaci¢n de acceso anticuado, y no es que se usa actualmente para acceder a las cuentas HOTMAIL» especulaba Richard Smith , Presidente de la Cambridge-based Phar Lap Software. « Creo que alguien se di¢ cuenta de que pod¡a escribir una contrase_a err¢nea y acceder a la cuenta«
Parece ser que el sistema de autentificaci¢n es bastante vulnerable, y con un programa de 5 l¡neas en Perl, algo de Java y una p gina web falsa que imite la de Hotmail -este requisito es indispensable- pueden robar los login y password sin que el usuario se de cuenta del hecho.
«La forma de evitar esto -dicen los expertos- es que el acceso de todos los usuarios se realice desde una p gina central«. El inconveniente radica en los m s de 40 millones de usuarios que, segon Microsoft, usan su sistema de correo-web. Demasiados accesos y passwords para ser gestionados a la vez.
CNET
