Nově odhalená bezpečnostní díra je spíše klíčová dírka, než otevřená vrata, ale Hotmail patří k nejsledovanějším freemailům a každé zaváhání je bedlivě sledováno.
Od té doby, co Microsoft v roce 1997 převzal free-mailový poštovní server Hotmail, je na tento server soustředěna pozornost mnoha hackerských skupin po celém světě. Microsoft není u těchto skupin lidí oblíben a to jak z důvodu své firemní politiky, skupování konkurence, snahou o ovládnutí trhu, tak i z dalších důvodů.
V červenci tohoto roku došlo ke změně vzhledu a některých funkcí na poštovním serveru Hotmail a tuto sobotu (18.8.) byla odhalena nová bezpečnostní chyba dovolující číst cizí poštu. Metoda je založena na možnosti přilinkovat si cizí poštu po přihlášení do vlastní schránky pomocí vhodně formulovaného URL odkazujícího se na konkrétní zprávu z cizí e-mailové schránky.
Tuto novou chybu není možné zneužít v nějakém větším měřítku, protože každá zpráva na Hotmailu obsahuje svoje unikátní číslo. Případný útočník tedy musí znát nejen jméno vaší poštovní schránky, ale i unikátní čísla zpráv ve vaší schránce uložených. Sice již existuje program Hotmail Message Scanner a to už ve druhé verzi, který prohledává zadaný rozsah čísel a hledá ta, která odpovídají nějaké zprávě. Prakticky to především kvůli rychlosti skenování není zrovna použitelné.
V minulosti byly podnikány i jiné útoky na poštovní schránky uživatelů služby Hotmail. Jednou z metod bylo rozesílání zpráv obsahujících kód JavaScriptu, vyžadující opětovné zadání hesla. Tato chyba se několikrát opakovala v různých obměnách. Asi největší chyba umožňovala vstoupit do poštovních schránek bez znalosti hesla, když nebyla vyžadována autorizace při přístupu z určitých adres.
Další problémy se svými servery měl Microsoft v lednu tohoto roku, kdy došlo k přetížení sítě, což způsobilo částečnou nedostupnost některých serverů. K tomuto přetížení došlo dvakrát, jednou byl podniknut DoS (Denial Of Service) útok, podruhé šlo o lidskou chybu. A z poslední doby i chyba Microsoftu, kdy si nechal nakazit několik poštovních serverů služby Hotmail červem Code Red II.
Díra na serveru bude pravděpodobně v krátkém čase odstraněna. Musí se sice přepsat většina kódu pro komunikaci mezi poštovní schránkou a prohlížečem, ale v současné době je tomu jistě věnováno zvýšené úsilí.
Nijak tím nechci snižovat kvalitu služby Hotmail. Podobné chyby a možná, že i daleko větší má zcela jistě většina free-mailových poskytovatelů. Hotmail má tu smůlu, že je na něj zaměřeno největší množství pokusů o průnik.
Jen tak pro zajímavost, víte že část služby Hotmail neběží na operačním systému od Microsoftu, ale FreeBSD?
