• Tweet

Microsoft afirma haber reparado error de cross site scripting.

Pese a que requirieron más de una semana, criminales informáticos lograron obtener las cuentas de correo de usuarios de Hotmail, gracias a un error de programación en el sitio web de Microsoft.

La falla permitió a los hackers leer y robar correos electrónicos de usuarios de Hotmail, y de acuerdo con la firma de seguridad Trend Micro, exactamente eso fue lo que hicieron, al enviar un mensaje especial por correo electrónico a cientos de víctimas.

El 12 de mayo, Trend Micro encontró un mensaje que lucía como una alerta de notificación de Facebook enviado a una víctima en Taiwan. El correo electrónico escrito en chino parecía alertar a las víctimas de que alguien más había accedido a sus cuentas de Facebook desde una nueva ubicación.

De hecho, se trataba de un truco. Escondido en el mensaje de correo electrónico, se encuentra un script especialmente diseñado para reenviar los mensajes de las víctimas al hacker.

Para que el ataque funcione, la víctima tenía que estar en una sesión de Hotmail, pero el script sólo se ejecuta cuando la víctima simplemente visualiza el mensaje. El ataque funcionó porque Microsoft tenía un error de programación web común, conocido como falla de cross site scripting, en este sitio web.

“El script dispara una solicitud que se envía al servidor de Hotmail”, escribió Trend Micro. En seguida, “se envían todos los mensajes de correo electrónico de los usuarios afectados a cierta dirección de correo electrónico”.

Las fallas de cross site scripting son fáciles de detectar en la web, pero resultan raro encontrarse estas fallas en sitios web importantes y ampliamente usados, como el de Windows Live Hotmail.

Trend Micro informó inmediatamente sobre el problema a Microsoft y finalmente fue reparado el viernes, indicó Microsoft. No se sabe a ciencia cierta cuántos usuarios de Hotmail fueron víctimas del ataque.

Según Trend Micro, no parece que el ataque haya sido esparcido. La firma fue capaz de contar entre 1,000 y 2,000 víctimas después de descubrir el problema, dijo Jamz Yaneza, gerente de investigación de Trend Micro. Sin embargo, Trend Micro no tiene manera de saber cuánto tiempo estuvo presente la falla antes de ser descubierta, agregó.