Hackers konden Hotmail-accounts overnemen door lek

Door een lek bij het resetten van wachtwoorden in webmaildienst Hotmail konden hackers wekenlang accounts overnemen. Er waren zelfs al tutorials op YouTube verschenen hoe het werkt. Microsoft heeft het lek inmiddels stilletjes gedicht.

Het lek kon misbruikt worden door de data van een token te beïnvloeden via Firefox add-on Tamper Data. Omdat Hotmail alleen checkte of er een token aanwezig was en niet of het token juist was, konden hackers op die manier het wachtwoord resetten en daarmee inloggen op het Hotmail-account. Dat blijkt uit een melding op Vulnerability-Lab.

Waarschijnlijk is het lek actief misbruikt; een onbekende hacker plaatste vorige week al een videohandleiding op YouTube. De eerste handleidingen zouden tot drie weken geleden op het internet zijn verschenen. Het lek werd vorige week al gedicht. Het is onduidelijk hoeveel mensen het slachtoffer zijn geworden van hackers die het hebben misbruikt.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 27-04-2012 11:26
71 • submitter: Mikke8

27-04-2012 • 11:26

71

Submitter: Mikke8

Lees meer

'Microsoft werkt aan Metro-interface voor Hotmail'
'Microsoft werkt aan Metro-interface voor Hotmail' Nieuws van 10 juni 2012
Last.fm waarschuwt voor mogelijk gestolen wachtwoorden
Last.fm waarschuwt voor mogelijk gestolen wachtwoorden Nieuws van 7 juni 2012
'Wachtwoorden van 55+'ers dubbel zo veilig als die van jongeren'
'Wachtwoorden van 55+'ers dubbel zo veilig als die van jongeren' Nieuws van 3 juni 2012
Beveiligingslek Hotmail maakte stelen e-mail mogelijk
Beveiligingslek Hotmail maakte stelen e-mail mogelijk Nieuws van 24 mei 2011
'Hackers verspreidden malware via advertentienetwerk Google en MS'
'Hackers verspreidden malware via advertentienetwerk Google en MS' Nieuws van 11 december 2010
Nederlandse tiener ontdekt lek in Microsofts Live-dienst
Nederlandse tiener ontdekt lek in Microsofts Live-dienst Nieuws van 4 juli 2006
Meer producten en artikelen
Websites en community's Privacy Microsoft Beveiliging

Reacties (71)

-Moderatie-faq
71
66
33
7
1
14
Wijzig sortering

Sorteer op:

Weergave:
nljw 27 april 2012 12:02
Waardeloze timing voor Microsoft (komt natuurlijk nooit goed uit), want dit lijkt veel op het probleem waar de journalist Barry Collins van het Britse blad PC Pro onder heeft geleden. Deze journalist probeerden Microsoft met een PR-stunt naar Hotmail van GMail te krijgen, maar dat is (waarschijnlijk) door dit probleem jammerlijk mislukt.
Verwijderd @nljw27 april 2012 12:27
Nee ,dit lijkt daar helemaal niet op.
Die journalist is na de hack ingelogd op zijn account en dus was het password niet gereset. Dus is malware op zijn PC of op een ander PC waar vanaf hij ook bij hotmail is ingelogd een veel waarschijlijker oorzaak.
Then my brother rang. Had I meant to send him that link in an email? And why had I also sent it our cousin and three blokes he’d never heard of. I put my pint down, switched my laptop on, logged into Hotmail, and saw the following:
Maarten00 27 april 2012 11:54
Lekker hoor, mijn account is een keer of 3 gehijacked. De eerste keer had ik al het idee dat het weer een of ander lek in Hotmail was en niet mijn eigen fout. Ik begon ondertussen toch hard aan mezelf te twijfelen en of ik dan tóch een keylogger had, aangezien hij dus 3x overgenomen is.. Maar nu weet ik het dus, fijn dat Microsoft ook zo snel bericht hierover doet.

Gelukkig gebruik ik al een tijd Hotmail niet meer voor mijn belangrijke zaken en zijn de contactpersonen van Hotmail vooral oud-klasgenoten e.d.
Verwijderd @Maarten0027 april 2012 12:08
Misschien is het handig voor de gehackte personen om ook je computer te scannen op eventuele Malware. Dit zeg ik omdat de meeste mensen gewoon gehacked zijn omdat er malware op de computer stond.

Dat je 3 keer of meer achter elkaar wordt gehacked hoeft niet persé te betekenen dat iemand het op jou gemunt had, en de inmiddels gefixte lek dusdanig heeft gebruikt om jou contactpersonen te e-mailen.

Door het lek was het mogelijk om Hotmail's token-gebaseerde inlogbescherming te omzeilen. Deze maatregel controleert alleen of de invoerwaarden leeg zijn, voordat de websessie wordt gesloten. De hacker wist de beveiliging te omzeilen door een string karakters, in dit geval ‘+++)-.’ toe te voegen.

Het misbruiken van het lek werd vereenvoudigd door het gebruik van de Firefox uitbreiding Tamper Data, die gebruikers de uitgaande HTTP requests van de browser in real time laat aanpassen. Microsoft werd op 6 april ingelicht en verhielp het probleem op 21 april. Volgens WhiteC0de zou er mogelijk nog een ernstig lek in de gratis e-maildienst zitten, die slechts bij een paar hackers bekend is.

@Terran, het wachtwoord kon alleen gereset worden dus niet achterhaald. Dat is ook de reden waarom de meeste mensen een foutmelding kregen tijdens het wijzigen van het wachtwoord.

edit: Daarbij worden er meerdere lekken in MSN en Hotmail services bekendbaar gemaakt: http://www.vulnerability-lab.com/get_content.php?id=433 (over het algemeen MS producten/pagina's)

edit: typ0

[Reactie gewijzigd door Verwijderd op 24 juli 2024 15:47]

r_AllocStarByte @Verwijderd27 april 2012 13:32
Blackshades, of HTTP bot/rat(s) kunnen dit, zonder open port nodig te hebben op een netwerk. Ik was tevens ook infected door een FUD jdb toen ik em op me pc kreeg meteen manual verwijderd en full scan gedaan niks gevonden en de exe in WMware en Sandboxie onderzocht. Dit was dan ook FUD malware. Ik heb ze naar De Vlab van Avira en NOD32 verzonden ze zijn nu detected 8-)
Verwijderd @Verwijderd27 april 2012 12:32
edit: Daarbij worden er meerdere lekken in MSN en Hotmail services bekendbaar gemaakt: http://www.vulnerability-lab.com/get_content.php?id=433
Je linkje verwijst naar lekken in een MS partner aanvraag website en niet naar lekken in MSN of hotmail
SuperDre @Maarten0027 april 2012 13:31
3 keer gehackt? hmmm....
SalimRMAF 27 april 2012 11:39
Een vriend van me zijn hotmail account was gehackt... hoe kun je je mail terug krijgen? Zijn wachtwoord was verwijderd. :(
_wood_ @SalimRMAF27 april 2012 12:54
Voor iemand uit de familie kring heb ik contact gezocht met Microsoft/Hotmail Nederland. Naar wat e-mails heen en weer, werd uiteindelijk het wachtwoord gereset.

Contactgegevens:
http://www.microsoft.com/...tact/contactgegevens.aspx
defixje @SalimRMAF27 april 2012 22:31
Dit kan je gewoon doen door te gaan naar: https://account.live.com/password/reset
  • Daarna "Ik denk dat iemand anders mijn Windows Live ID gebruikt".
  • Je E-mail adres invullen (en E-mail waar je wel op kan)
  • En vragenlijst invullen
  • En binnen 48 uur krijg je een nieuwe wachtwoord
edit: typo

[Reactie gewijzigd door defixje op 24 juli 2024 15:47]

Keypunchie
27 april 2012 11:33
Serieuze zaak. Heel veel beveiliging gaat er klakkeloos van uit dat jij de enige bent met toegang tot je e-mailaccount.

Als dit soort serieuze bugs blijven bestaan zal het niet lang duren voordat je overal een tweede authenticatiemethode moet hebben. Dus ook een code naar je mobiel bvb.
Weyland @Keypunchie27 april 2012 11:36
Ik ga nooit mijn telefoon koppelen aan een email account. Onzin en is niet nodig. Er zijn betere two factor authenticatie methodes.
MossMan @Weyland27 april 2012 12:42
Tja... dat wilde ik ook niet, maar toch een GMail account aangemaakt om een paar goede apps te kunnen kopen en downloaden. Daarvoor moest je echt een Google account hebben. Ik dacht een klein accountje te hebben gemaakt alleen maar voor Android dingen.

Was daarom enorm pissig toen Google AL MIJN VERSCHILLENDE ACCOUNTS AAN ELKAAR KOPPELDE ZONDER TOESTEMMING TE VRAGEN!

Nu krijg ik dus een belletje op mijn phone als iemand antwoordt op een YouTube comment van mij (gemaakt vanuit een andere account). Als ik inlog op Maps met weer een andere account (mijn gewone e-mail adres) wordt een cookie gestuurd waardoor ik overal ingelogd ben op alle Google services met een identiteit ooit aangemaakt via weer een andere e-mail adres.

En het ergste - voor zover ik weet heeft Google die koppelingen *ZELF* bedacht/uitgezocht - ik had meerdere e-mail adressen gebruikt bij het aanmaken van verschillende accounts op verschillende services *voor dat Google deze overnam*. M.a.w. ze hebben alles tot één identiteit teruggebracht door wat je spionage kunt noemen. Als je dat onverwacht overkomt is het echt niet leuk!

En nu dit een feit is twijfel ik of ik ooit weer een echte schaduw-account ergens *kan* maken! Google kennend zullen ze een bekende IP adres, credit-card nummer o.i.d. ergens in mijn zee van verzamelde data oppikken en... bingo! Evil_sneaky_basterd003_doing_naughty_biznezz is toch weer MossMan - gelijk al zijn contacts maar koppelen en aan elkaar laten zien...

[Reactie gewijzigd door MossMan op 24 juli 2024 15:47]

Mathieu_Hinder @MossMan27 april 2012 13:31
Sure, paranoid... Ik heb zelf een Google account, en krijg helemaal geen meldingen op mijn mobiel. Dit is omdat jij die instellingen zo hebt staan. Als je aanmeld, kan je aanvinken of je permanent aangemeld wilt worden of niet, de reden dat het kan is voor het gebruiksgemak. Meerdere accounts worden niet vanzelf aan elkaar gelinkt zonder dat jij daarvan op de hoogte bent. Misschien eerst een naar jezelf kijken in plaats van Google zomaar rond te beschuldigen?
mae-t.net @Mathieu_Hinder28 april 2012 19:30
Hij is er toch ook van op de hoogte? Alleen is kennelijk nooit gevraagd of die accounts gekoppeld moesten worden. Google gebruikt hier kennelijk koekjes voor, een verhaal dat me niet helemaal vreemd voorkomt van de ervaringen van een collega die ook wat verschillende accounts had.
MossMan @mae-t.net3 mei 2012 11:22
Juist. Het ging mij om het koppelen van alles zonder toestemming te vragen. Ik wilde aparte accounts voor al die services behouden - maar dat kan niet meer! Er is geen mogelijkheid om ze weer los van elkaar te trekken...
Durandal @MossMan27 april 2012 13:32
Je had je telefoonnummer ook niet aan google moeten geven.
MossMan @Durandal3 mei 2012 11:28
Dat heb ik (voor zover ik weet) nog niet gedaan - het ging om een GMail account aangemaakt alleen maar voor Google Play betalingen... die nu gekoppeld blijkt te zijn aan mijn oude YouTube account. Onverwacht kreeg ik piepjes om te vertellen dat mijn GMail account mailtjes kreeg om te melden dat mensen op mijn YouTube comment reageerden.
Verwijderd @MossMan27 april 2012 13:15
Dat doet google gewoon via de cookies die ze plaatsen.
Daar heb je niet zo veel spionage tecgueken voor nodig
Saph @Weyland27 april 2012 11:40
Ik vermoed dat hij met bvb bijvoorbeeld noemt. Hij noemt het op als een mogelijkheid/voorbeeld, niet dat het de authenicatie methode gaat worden.
SinergyX
@Keypunchie27 april 2012 11:38
Volgens mij is er nog geen enkel systeem geweest dat waterdicht is, is het niet de website zelf, kan het altijd nog via achterliggende email, phising of zelfs identity theft.

Dat nog naast de steeds toenemende hoeveelheid 'informatie' je dus client-side kan aanpassen via zulke addons (waar vaak submitforms werden misbruikt).

Ergens verbaast het mij dan ook weer dat zo'n filmpje vrij lange tijd op youtube heeft kunnen staan (is wel inmiddels), al vraag ik me af of google ook actief kan filteren op niet-ABC talen (zoals de titel van het youtube filmpje).
LOTG @Keypunchie27 april 2012 11:43
Of zo als steam, CPU locked en anders inderdaad een verificatie code. Die gaat momentel naar je email trouwens.
SuperDre @Keypunchie27 april 2012 13:27
Als dit soort serieuze bugs blijven bestaan zal het niet lang duren voordat je overal een tweede authenticatiemethode moet hebben. Dus ook een code naar je mobiel bvb.
Verplicht koppelen aan je mobiel zou achterlijk zijn, wat als je geen mobiel hebt, of wat als je je mobiel kwijt bent (of niet bij hebt)..
Verwijderd 27 april 2012 11:30
Handig dat ze het nu pas zeggen als het vorige week al bekend was, gelukkig heb ik nergens last van gehad :)
Magic @Verwijderd27 april 2012 11:39
Mijn account was dus inderdaad compromised, en zelfs spam mee verstuurd.

Gelukkig gebruik ik mijn hotmail account niet voor e-mail en was mijn adresboek niet heel erg gevuld.
Verwijderd @Magic27 april 2012 12:19
Je wachtwoord was veranderd door de hackers?
Unipuma @Verwijderd27 april 2012 12:45
Zelfde probleem gehad. Nee, het wachtwoord was niet veranderd, maar alle contacts in mijn adressenlijst hebben spammail gekregen.
freeco @Unipuma27 april 2012 14:21
dan spreek je niet over hetzelfde
hoogstwaarschijnlijk heeft 1 of andere malware je Messengerverbinding oid gebruikt om SPAM naar je contacten te versturen
Dat, of je paswoord was gewoon te simpel en ze hoefden het niet te veranderen
Reflian @freeco27 april 2012 16:47
Ik vraag me sterk af of het antwoord zo simpel is, ik ben zelf redelijk ingelezen in security, maar ook bij mij was deze week plotseling een zeer oud ongebruikt hotmail account gehacked en was er spam mee verstuurd (naar hele adressenlijst, oftewel naar mezelf en mn gmail account :) ). Het wachtwoord is vrij uniek, nog nooit op een wachtwoordenlijst of dictionary tegengekomen, en ik had al tijden (misschien 1x afgelopen jaar) niet meer op die account ingelogd, los van dat voor zover ik weet al mijn pc's op het moment schoon zijn. Het wachtwoord was niet gewijzigd, ik moet zeggen dat ik me al aardig begon af te vragen waar dit vandaan kon komen. Nu klopt het dat uit dit bericht blijkt dat het wachtwoord altijd veranderd zou worden, maar de verhalen die je hier om heen hoort is toch dat er mogelijk ook andere exploits zijn om hotmail accounts over te nemen?
Mathijs @Reflian28 april 2012 04:59
Bij mij is dat ook het geval geweest. Ik maakte in dat geval niet eens gebruik van windows, dus malware is dan ook onwaarschijnlijk.(wie schrijft dat voor een hele kleine doelgroep?)

Dat het mogelijk was, plus het arrogante en laconieke antwoord dat ik van microsoft ontving op mijn mail daarover, heeft mij doen besluiten de boel op te zeggen en er geen gebruik meer van te maken.
Rainboww @Reflian28 april 2012 22:04
Bij mij was net een uurtje geleden gebeurd: ik was gewoon aangemeld op msn, maar opeens krijg ik de melding: verbinding is verbroken. Bij opnieuw aanmelden kwam het bericht: account mogelijk compromised. Ik was echter maar op 1 locatie aangemeld met msn (kun je zien in de nieuwste versie). Het vreemde is dat ik juist geen simpel wachtwoord gebruik, ik nergens anders hotmail open dan op mijn thuis PC, en goede virusscanner en firewall heb. Het enige dat ik onlangs gedaan heb is IM+ op de iPad geinstalleerd, maar lijkt me sterk dat zij je gaan hacken, stel dat Apple er achterkomt :/
Wat echter wel zo is: het msn wachtwoord wordt in Windows niet super sterk encrypted (als je dat automatisch doet opslaan). Bij deze tool kan gewoon je wachtwoord uitlezen, zelfs met de nieuwste versie: http://www.nirsoft.net/utils/mspass.html toch wel even schrikken...
Saven @Unipuma27 april 2012 13:09
Dan is er toch iets anders gebeurd dan deze hack lijkt me, omdat je met dit lek het password reset, en dus wel een nieuw wachtwoord krijgt.
defixje @Magic27 april 2012 22:24
Bij mijn zusje idem.Alleen bij haar was wel het wachtwoord aangepast. Ze heeft haar account nu wel terug dankzij de Hotmail/Live klantenservice.
Terran 27 april 2012 11:53
Maar je bent enkel gehackt als je pw gereset is , of konden ze hem ook achterhalen ?
Verwijderd @Terran27 april 2012 12:22
Nee, het was een bug mbt het resetten van de passwords.
Als het password nog in tact was en iemand is gehackt dan is het waarschijnlijk een key logger of iets dergelijks geweest op een computer waarmee de hotmail account is gecontroleerd.
LopendeVogel 27 april 2012 12:19
ik denk dat de gene die "gehackt" is moeten nadenken over wie dat gedaan heeft. ik denk niet dat een wild vreemde even jou email gebruikt. maar eerder iemand die je wilde klote. maar is deze lek er niet altijd geweest? of is er recent een wijziging bij ms doorgevoerd wat deze hack mogelijk heeft gemaakt??

hopelijk gaat dit grapje niet op bij mijn gmail....
Verwijderd @LopendeVogel27 april 2012 12:29
Nee lekken worden gevonden door personen die hier naar opzoek zijn. Niemand heeft dus voor die tijd ( 3 weken geleden ) geweten dat dit mogelijk was wat mij overigens verbaast aangezien de lek niet gigantisch moeilijk te gebruiken is.

Tot die tijd, voordat een lek gevonden is kan hij dus niet misbruikt worden..
Conclusie: Deze lek is dus in 3 á 4 weken tijd hevig misbruikt, en dit kun je concluderen uit video's die o.a. op YouTube verschenen zijn (inclusief de tools in private scriptkiddie fora's)
Teijgetje 27 april 2012 13:46
Mij ontgaat even de exacte werkwijze.
Jammer(logisch) dat het filmpje al geblokkerd is.
Ik heb weliswaar geen foutmeldingen wbt inloggen maar had graag geweten hoe.
(Wel vorige week na openen Hotmail dat ik de pagina moest verversen ivm een update)

Als ik het goed begrijp dan ga je via Firefox internet op, heb je TamperData ge-add-ont hierin, en log je met een onbeveiligde http-verbinding in op Hotmail?

Ik log met een beveiligde verbinding(https) in via IE9, en laat aanmelden doen door LastPass dmv een onmogelijk wachtwoord.
(Een beveiligde verbinding vereist telkens opnieuw inloggen)
(Ik laat indien mogelijk alles via https lopen omdat Lastpass dat elke keer opnieuw inloggen/wachtwoord invoeren overneemt)

Nu snap ik dat deze methode het wachtwoord laat voor wat het is en het het token verandert, maar kan TamperData , die ik niet heb geinstalleerd in FireFox, nu toch op IE iets doen? Lijkt mij niet, al kunnen goede hackers veel.
Hoewel de actie vanaf afstand is lijkt mij dat zij niet Tamper Data bij mij ongemerkt erop kunnen zetten.

Maar wat als je nu via https inlogt via Firefox, maakt die beveilgde verbinding dan ook niets uit omdat de Add On(moet dus geinstalleerd zijn) in je browser rechten heeft, en dus toch dat token ongemerkt kan wijzigen?

VulnerabilityLab rept trouwens niet over FF en TamperData?

[Reactie gewijzigd door Teijgetje op 24 juli 2024 15:47]

Reflian @Teijgetje27 april 2012 16:37
Je begrijpt het geloof ik verkeerd, de hackers hebben niets van jou nodig, ze hebben zélf tamperdata (bijvoorbeeld) en proberen jou wachtwoord te resetten, normaal moet daar het juiste token bij verstuurd worden (tijdens het reset proces), maar door een willekeurige token te versturen dmv de addon kon het wachtwoord al gewijzigd worden blijkbaar. Dit begreep ik uit het artikel tenminste.
Teijgetje @Reflian28 april 2012 08:22
thnx, makes more sense,
dus de aanval is gericht op een email-adres waarvoor je (nu zij) ,vóórdat je ingelogt bent, een ander wachtwoord aanvraagt, en gaat de hack (door hen) met Tamperdata op FF.
Atmosfeer 27 april 2012 11:44
Een paar jaar geleden was er zo'n soortgelijke 'hack' (je moest gewoon wat regels code in de URL balk gooien). Op die manier nog email adressen met .gov weten te registeren. Gaf leuke mogelijkheden zoals administrator[at]whitehouse.gov :D (het gedeelte achter de apenstaart kon je ook bepalen) Deze adressen waren dan echter wel alleen als msn adres mogelijk. Als je ermee wou gaan mailen ging het fout.

[Reactie gewijzigd door Atmosfeer op 24 juli 2024 15:47]

Wody 27 april 2012 11:44
In mijn geval was ik ook slachtoffer. Ze hebben bij mij al mijn gegevens en alle gegevens van de contactpersonen gestolen en vervolgens o.a. gebruikt om iedereen te emailen, met 'klik op deze link' waar dan een virus of andere crack-methode achter zat.

Ik wist dat het zoiets geweest moest zijn, omdat ik een eigen email-adres in het adresboek had gestopt, voor dit soort situaties, en vervolgens een email kreeg met iedereen die in mijn adresboek zat erin geplakt.

Dus, heb je een adresboek, zorg ook dat je een adres van jezelf er tussen hebt, zodat je ook gelijk weet wanneer zoiets gebeurt.
SuperDre @Wody27 april 2012 13:29
Maar was je wachtwoord gewijzigd? zoniet, dan was het een hele andere misbruik die niets met deze hack te maken heeft.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq