Hotmail und Passport gehackt

Nur eine Zeile Code soll einem 24-jährigen zum Infiltrieren der Systeme gereicht haben

Gleich zweimal in diesem Monat ist der 24-jährige Jeremiah Grossman in Microsofts (Börse Frankfurt: MSF) E-Mail-Dienst Hotmail sowie der neuen Authentifizierungssoftware Passport eingedrungen. Beim ersten Mal habe er drei Zeilen Code benötigt, beim zweiten und neusten soll es gar nur eine Zeile gewesen sein. Das berichtet die amerikanische Tageszeitung „USA Today“.

Neben den persönlichen Identifikationsnummern der Anwender hat Grossman nach eigenen Angaben auch Zugriff auf deren Kreditkartennummern gehabt. Der Hacker behauptet, den Vorgang jederzeit binnen acht Stunden wiederholen zu können. Er hat mittlerweile Microsoft von dem Sicherheitsloch in Kenntnis gesetzt.

Grossman nutzte ein seit 1997 bekanntes „Cross-Site Scripting“, das sich in kleinen Anwendungen auf Sites verbirgt. „Das ist ganz einfach“, erklärte der Sicherheitsexperte Shawn Hernan vom Computer Emergency Response Team. „Man kann sich da wirklich schreckliche Szenarios vorstellen.“

Beim Passport-Service füllt der Benutzer einmal ein Formular mit seinen Daten aus und erhält dafür dann Zugang zu verschiedenen Websites. Dies ist ein zentrales Feature von Microsofts (Börse Frankfurt: MSF) .Net-Strategie. Der Anwender muss keine weiteren neuen Formulare ausfüllen, weil die Services via XML miteinander kommunizieren. Hotmail ist der kostenlose E-Mail-Service des Konzerns mit rund 110 Millionen Anwendern weltweit.

Kontakt:
Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)

Themenseiten: Telekommunikation

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Hotmail und Passport gehackt

Kommentar hinzufügen
  • Am 1. September 2001 um 10:11 von Paul Lenz

    Ich kapier’s nicht
    > Grossman nutzte ein seit 1997

    > bekanntes "Cross-Site Scripting",

    > das sich in kleinen Anwendungen

    > auf Sites verbirgt.

    Ist das ein Script, das auf dem Hotmail-Server liegt und dessen URL man nur kennen muss, um es zu starten? Oder wie funktioniert das?

  • Am 2. September 2001 um 21:15 von A. Tannenburg

    VERANTWORTUNG der Medien
    Ich denke, die Medien haben eine sehr wichtige Aufgabe:

    Informieren & aufklären, damit der Leser VERSTEHT und eigenverantwortlich Entscheidungen treffen kann.

    Gerade dies schafft ZDNET meiner Meinung nach nicht: Zwar wird berichtet, daß es wieder eine Sicherheitslücke gab, aber über Details hält man sich bedeckt.

    Dies entspricht einem Sensationsbericht auf BILD-Niveau.

    Ich habe nicht VERSTANDEN, weshalb jemand in das System eindringen konnte. Ist es womöglich XML? Oder eine kurise .NET-Strategie?

    Wenn wir in die Abhängikeit geraten, uns von einer Macht schützen zu lassen, und nicht einmal beurteilen können, ob diese Macht UNS vor etwas beschützt, oder sich selber vor uns…

    So könnte dieser Artikel diese "Macht" vor Microsoft schützen. Vielleicht ist diese Sicherheitslücke nicht relevant, wer könnte das nach dem Artikel eigenverantwortlich beurteilen?

    Liebe Redakteure von ZDNET,

    meiner Meinung nach gehört es mit zu Ihrer Verantwortung so zu informieren, dass man eben nicht in diese Abhängigkeit gerät.

    Dies ist nicht das erste Mal, daß ein Artikel bei ZDNET nicht wirklich aufklärt.

    Scheinbar will ZDNET keine rechtlichen Probleme bekommen. Schliesslich ist Hacken illegal!

    Aber wie heißt es auf manchen Webseiten?

    "Alle hier dargestellten Verfahren, [..] werden ausschließlich für Zwecke der Forschung und Bildung publiziert!"

    Traut ZDNET sich nicht, oder hat es nicht das Fachwissen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *