Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 71, views: 29.467 •
Submitter: Mikke8

Door een lek bij het resetten van wachtwoorden in webmaildienst Hotmail konden hackers wekenlang accounts overnemen. Er waren zelfs al tutorials op YouTube verschenen hoe het werkt. Microsoft heeft het lek inmiddels stilletjes gedicht.

Het lek kon misbruikt worden door de data van een token te beïnvloeden via Firefox add-on Tamper Data. Omdat Hotmail alleen checkte of er een token aanwezig was en niet of het token juist was, konden hackers op die manier het wachtwoord resetten en daarmee inloggen op het Hotmail-account. Dat blijkt uit een melding op Vulnerability-Lab.

Waarschijnlijk is het lek actief misbruikt; een onbekende hacker plaatste vorige week al een videohandleiding op YouTube. De eerste handleidingen zouden tot drie weken geleden op het internet zijn verschenen. Het lek werd vorige week al gedicht. Het is onduidelijk hoeveel mensen het slachtoffer zijn geworden van hackers die het hebben misbruikt.

Reacties (71)

Dit is oud nieuws dit gaat al rond hackforums sinds zeker 3 weken of langer.
Ik ben zelf ook gehackt door deze 'leak' heb inmiddels mijn account wel terug.
Goed dat Microsoft het nu gedicht heeft.
Goed lezen, onderste alinea.

OT: Wel verontrustend.
Ik ben zelf ook gehackt door deze 'leak' heb inmiddels mijn account wel terug.
Je bedoelt dat jouw account ook is gehackt, maar of dat door deze 'leak' komt is natuurlijk de vraag.
Ach Marktplaats.nl is ook zo lek als een mandje kopieer en plak een bekijk bod link eens in een andere PCs zijn browser en voila toegang tot een account van iemand anders. Heb het ze gemeld maar ze doen er NIETS mee.
Handig dat ze het nu pas zeggen als het vorige week al bekend was, gelukkig heb ik nergens last van gehad :)
Mijn account was dus inderdaad compromised, en zelfs spam mee verstuurd.

Gelukkig gebruik ik mijn hotmail account niet voor e-mail en was mijn adresboek niet heel erg gevuld.
Je wachtwoord was veranderd door de hackers?
Zelfde probleem gehad. Nee, het wachtwoord was niet veranderd, maar alle contacts in mijn adressenlijst hebben spammail gekregen.
Dan is er toch iets anders gebeurd dan deze hack lijkt me, omdat je met dit lek het password reset, en dus wel een nieuw wachtwoord krijgt.
dan spreek je niet over hetzelfde
hoogstwaarschijnlijk heeft 1 of andere malware je Messengerverbinding oid gebruikt om SPAM naar je contacten te versturen
Dat, of je paswoord was gewoon te simpel en ze hoefden het niet te veranderen
Ik vraag me sterk af of het antwoord zo simpel is, ik ben zelf redelijk ingelezen in security, maar ook bij mij was deze week plotseling een zeer oud ongebruikt hotmail account gehacked en was er spam mee verstuurd (naar hele adressenlijst, oftewel naar mezelf en mn gmail account :) ). Het wachtwoord is vrij uniek, nog nooit op een wachtwoordenlijst of dictionary tegengekomen, en ik had al tijden (misschien 1x afgelopen jaar) niet meer op die account ingelogd, los van dat voor zover ik weet al mijn pc's op het moment schoon zijn. Het wachtwoord was niet gewijzigd, ik moet zeggen dat ik me al aardig begon af te vragen waar dit vandaan kon komen. Nu klopt het dat uit dit bericht blijkt dat het wachtwoord altijd veranderd zou worden, maar de verhalen die je hier om heen hoort is toch dat er mogelijk ook andere exploits zijn om hotmail accounts over te nemen?
Bij mij is dat ook het geval geweest. Ik maakte in dat geval niet eens gebruik van windows, dus malware is dan ook onwaarschijnlijk.(wie schrijft dat voor een hele kleine doelgroep?)

Dat het mogelijk was, plus het arrogante en laconieke antwoord dat ik van microsoft ontving op mijn mail daarover, heeft mij doen besluiten de boel op te zeggen en er geen gebruik meer van te maken.
Bij mij was net een uurtje geleden gebeurd: ik was gewoon aangemeld op msn, maar opeens krijg ik de melding: verbinding is verbroken. Bij opnieuw aanmelden kwam het bericht: account mogelijk compromised. Ik was echter maar op 1 locatie aangemeld met msn (kun je zien in de nieuwste versie). Het vreemde is dat ik juist geen simpel wachtwoord gebruik, ik nergens anders hotmail open dan op mijn thuis PC, en goede virusscanner en firewall heb. Het enige dat ik onlangs gedaan heb is IM+ op de iPad geinstalleerd, maar lijkt me sterk dat zij je gaan hacken, stel dat Apple er achterkomt :/
Wat echter wel zo is: het msn wachtwoord wordt in Windows niet super sterk encrypted (als je dat automatisch doet opslaan). Bij deze tool kan gewoon je wachtwoord uitlezen, zelfs met de nieuwste versie: http://www.nirsoft.net/utils/mspass.html toch wel even schrikken...
Bij mijn zusje idem.Alleen bij haar was wel het wachtwoord aangepast. Ze heeft haar account nu wel terug dankzij de Hotmail/Live klantenservice.
Serieuze zaak. Heel veel beveiliging gaat er klakkeloos van uit dat jij de enige bent met toegang tot je e-mailaccount.

Als dit soort serieuze bugs blijven bestaan zal het niet lang duren voordat je overal een tweede authenticatiemethode moet hebben. Dus ook een code naar je mobiel bvb.
Ik ga nooit mijn telefoon koppelen aan een email account. Onzin en is niet nodig. Er zijn betere two factor authenticatie methodes.
Ik vermoed dat hij met bvb bijvoorbeeld noemt. Hij noemt het op als een mogelijkheid/voorbeeld, niet dat het de authenicatie methode gaat worden.
Tja... dat wilde ik ook niet, maar toch een GMail account aangemaakt om een paar goede apps te kunnen kopen en downloaden. Daarvoor moest je echt een Google account hebben. Ik dacht een klein accountje te hebben gemaakt alleen maar voor Android dingen.

Was daarom enorm pissig toen Google AL MIJN VERSCHILLENDE ACCOUNTS AAN ELKAAR KOPPELDE ZONDER TOESTEMMING TE VRAGEN!

Nu krijg ik dus een belletje op mijn phone als iemand antwoordt op een YouTube comment van mij (gemaakt vanuit een andere account). Als ik inlog op Maps met weer een andere account (mijn gewone e-mail adres) wordt een cookie gestuurd waardoor ik overal ingelogd ben op alle Google services met een identiteit ooit aangemaakt via weer een andere e-mail adres.

En het ergste - voor zover ik weet heeft Google die koppelingen *ZELF* bedacht/uitgezocht - ik had meerdere e-mail adressen gebruikt bij het aanmaken van verschillende accounts op verschillende services *voor dat Google deze overnam*. M.a.w. ze hebben alles tot één identiteit teruggebracht door wat je spionage kunt noemen. Als je dat onverwacht overkomt is het echt niet leuk!

En nu dit een feit is twijfel ik of ik ooit weer een echte schaduw-account ergens *kan* maken! Google kennend zullen ze een bekende IP adres, credit-card nummer o.i.d. ergens in mijn zee van verzamelde data oppikken en... bingo! Evil_sneaky_basterd003_doing_naughty_biznezz is toch weer MossMan - gelijk al zijn contacts maar koppelen en aan elkaar laten zien...

[Reactie gewijzigd door MossMan op 27 april 2012 12:57]

Dat doet google gewoon via de cookies die ze plaatsen.
Daar heb je niet zo veel spionage tecgueken voor nodig
Sure, paranoid... Ik heb zelf een Google account, en krijg helemaal geen meldingen op mijn mobiel. Dit is omdat jij die instellingen zo hebt staan. Als je aanmeld, kan je aanvinken of je permanent aangemeld wilt worden of niet, de reden dat het kan is voor het gebruiksgemak. Meerdere accounts worden niet vanzelf aan elkaar gelinkt zonder dat jij daarvan op de hoogte bent. Misschien eerst een naar jezelf kijken in plaats van Google zomaar rond te beschuldigen?
Hij is er toch ook van op de hoogte? Alleen is kennelijk nooit gevraagd of die accounts gekoppeld moesten worden. Google gebruikt hier kennelijk koekjes voor, een verhaal dat me niet helemaal vreemd voorkomt van de ervaringen van een collega die ook wat verschillende accounts had.
Juist. Het ging mij om het koppelen van alles zonder toestemming te vragen. Ik wilde aparte accounts voor al die services behouden - maar dat kan niet meer! Er is geen mogelijkheid om ze weer los van elkaar te trekken...
Je had je telefoonnummer ook niet aan google moeten geven.
Dat heb ik (voor zover ik weet) nog niet gedaan - het ging om een GMail account aangemaakt alleen maar voor Google Play betalingen... die nu gekoppeld blijkt te zijn aan mijn oude YouTube account. Onverwacht kreeg ik piepjes om te vertellen dat mijn GMail account mailtjes kreeg om te melden dat mensen op mijn YouTube comment reageerden.
Volgens mij is er nog geen enkel systeem geweest dat waterdicht is, is het niet de website zelf, kan het altijd nog via achterliggende email, phising of zelfs identity theft.

Dat nog naast de steeds toenemende hoeveelheid 'informatie' je dus client-side kan aanpassen via zulke addons (waar vaak submitforms werden misbruikt).

Ergens verbaast het mij dan ook weer dat zo'n filmpje vrij lange tijd op youtube heeft kunnen staan (is wel inmiddels), al vraag ik me af of google ook actief kan filteren op niet-ABC talen (zoals de titel van het youtube filmpje).
Of zo als steam, CPU locked en anders inderdaad een verificatie code. Die gaat momentel naar je email trouwens.
Als dit soort serieuze bugs blijven bestaan zal het niet lang duren voordat je overal een tweede authenticatiemethode moet hebben. Dus ook een code naar je mobiel bvb.
Verplicht koppelen aan je mobiel zou achterlijk zijn, wat als je geen mobiel hebt, of wat als je je mobiel kwijt bent (of niet bij hebt)..
Jammer dat MS het niet zelf heeft gemeld.. Toch wel een erge security fout.

Gelukkig ben ik niet gehacked!
Een vriend van me zijn hotmail account was gehackt... hoe kun je je mail terug krijgen? Zijn wachtwoord was verwijderd. :(
Voor iemand uit de familie kring heb ik contact gezocht met Microsoft/Hotmail Nederland. Naar wat e-mails heen en weer, werd uiteindelijk het wachtwoord gereset.

Contactgegevens:
http://www.microsoft.com/...tact/contactgegevens.aspx
Dit kan je gewoon doen door te gaan naar: https://account.live.com/password/reset
  • Daarna "Ik denk dat iemand anders mijn Windows Live ID gebruikt".
  • Je E-mail adres invullen (en E-mail waar je wel op kan)
  • En vragenlijst invullen
  • En binnen 48 uur krijg je een nieuwe wachtwoord
edit: typo

[Reactie gewijzigd door defixje op 27 april 2012 22:42]

jammer dat er achteraf pas voor gewaarschuwd werd...
Als je er vooraf voor kon waarschuwen was het niet nodig geweest?
Een paar jaar geleden was er zo'n soortgelijke 'hack' (je moest gewoon wat regels code in de URL balk gooien). Op die manier nog email adressen met .gov weten te registeren. Gaf leuke mogelijkheden zoals administrator[at]whitehouse.gov :D (het gedeelte achter de apenstaart kon je ook bepalen) Deze adressen waren dan echter wel alleen als msn adres mogelijk. Als je ermee wou gaan mailen ging het fout.

[Reactie gewijzigd door Atmosfeer op 27 april 2012 11:46]

Ik vind dit wel een zeer kwalijke bug, gelukkig gebruik ik zelf mijn hotmail account niet en is hij daarbij ook niet gehackt maar wel heel bizar dat dit nog anno 2012 mogelijk is geweest.

Ik mag hopen dat dit soort zaken bij andere partijen wel op orde zijn, denk hierbij aan gmail e.d.
In mijn geval was ik ook slachtoffer. Ze hebben bij mij al mijn gegevens en alle gegevens van de contactpersonen gestolen en vervolgens o.a. gebruikt om iedereen te emailen, met 'klik op deze link' waar dan een virus of andere crack-methode achter zat.

Ik wist dat het zoiets geweest moest zijn, omdat ik een eigen email-adres in het adresboek had gestopt, voor dit soort situaties, en vervolgens een email kreeg met iedereen die in mijn adresboek zat erin geplakt.

Dus, heb je een adresboek, zorg ook dat je een adres van jezelf er tussen hebt, zodat je ook gelijk weet wanneer zoiets gebeurt.
Maar was je wachtwoord gewijzigd? zoniet, dan was het een hele andere misbruik die niets met deze hack te maken heeft.
Gvd, mijn mail was gehackt 2 week geleden. Lekker dat het Microsofts schuld is. Dit geloof je toch niet?
Erg teleurstellend, maar ook wel fijn dat het niet mijn eigen fout is.
dus je wachtwoord was veranderd waardoor je niet meer kon inloggen?

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013