Wesley Wineberg, investigador senior de seguridad de Synack, recibió 25 mil dólares de Microsoft por divulgar de forma responsable un error que permitía que cualquier cuenta de Hotmail fuera secuestrada.

La vulnerabilidad de falsificación de petición en sitios cruzados (CSRF, por sus siglas en inglés) significa que las cuentas de los usuarios que visitan una página maliciosa pueden ser robadas sin otra interacción.

El fallo, ahora corregido, estaba presente en Microsoft Live.com y pudo ser convertido en un peligroso gusano, dijo Wineberg.

"Con IMAP y acceso al directorio de contactos, un gusano podría enviarse fácilmente a todos los contactos del usuario, o al menos a los que utilicen Hotmail o Outlook.com (algo muy al estilo del virus ILOVEYOU), y propagarse a todos los usuarios que le den clic al enlace", añadió Wineberg.

"El único prerrequisito era que la víctima hubiera iniciado sesión y que tuviera un token de sesión válido en sus cookies". "Este CSRF me permitía evadir el paso de interacción del usuario con el sistema de autenticación OAuth".

Wineberg creó una prueba de concepto con una aplicación capaz de secuestrar sesiones y la mostró en un video.

Dijo que la vulnerabilidad era simplemente el clásico CSRF que suele existir en un área crítica de autenticación.

El hacker dijo que las otras API de Microsoft que cuentan con inicio de sesión regular parecen seguras.