BEDRIFTSTEKNOLOGI

Kaketyver tar din Hotmail-konto

To cookies er alt som skal til for at en ondsinnet pirat kan kapre din Hotmail-konto og stjele den for alltid. Slik unngår du kake-fella.

26. apr. 2002 - 15:43

Hotmail-brukere må nok en gang skjerpe seg for ikke å miste kontoene sine til tyver. Et enkelt triks med cookie-filer, eller småkaker om man vil, er alt som skal til.

Ifølge dataekspert Eric Glover som Wired News har pratet med, kan en slemming på denne måten kapre kontoen din for evig og alltid. Trikset er å stjele to cookie-filer fra maskinen din, og da hjelper det ikke en gang om du endrer passordet på kontoen - de kan fortsatt komme seg inn og lese din private e-post og sende brev fra din konto.

Glover studerte innloggingsrutinene til MSN Hotmail og Microsofts Passport-tjeneste, og fant at det gikk an å kopiere småkakene, legge dem på en annen maskin, og overta kontoen.

Sikkerhetseksperter Wired har pratet med, kritiserer strategien med å la cookies være grunnlaget for autentiseringsprosessen. Mark Slemko, som tidligere har avslørt problemer med Passport, mener det er lett som smør å rappe cookies fra andre brukere

Han sier også at de fleste som bruker cookies i autentiseringsprosessen lar dem gå ut på dato hvis brukerne er inaktive i flere minutter.

Problemet er at Hotmail gjør det enklere for folk å være innlogget hele dagen, om brukeren klikker på "Forbli pålogget..." ved innlogging.

Når en logger inn på Hotmail blir det lagt et dusin småkaker i cookies-mappa i nettleseren. To av disse, nemlig "MSPAuth" og "MSPProf" er de digitale nøklene som lar angriperen låse seg inn på din konto.

Den beste måten å forsvare seg mot Hotmail-tyver er dermed å holde seg langt unna "Forbli pålogget..."-knappen, ellers er det kanskje hakket for enkelt for andre å snuse seg inn på din konto.

Hotmail er verdens mest brukte nettbaserte e-posttjeneste, med rundt en milliard registrerte konti.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.