Sem muito alarde, a Microsoft implantou algumas correções para a uma falha de segurança grave descoberta no Hotmail. A falha afetou o sistema de redefinição de senhas do serviço e, se utilizada por pessoas mal intencionadas, permitiria a qualquer um alterar a senha de uma conta sem que o proprietário tivesse conhecimento disso. O erro deixou todas as contas de email expostas.
O problema foi encontrado em um erro no Hotmail na forma como ele lida com os pedidos de redefinição de senha. A fim de evitar que alguém além dos proprietários redefina as suas senhas, o sistema da Microsoft conta com uma espécie de validação. Para que ela seja ativada, é preciso que o usuário clique no link enviado para confirmação.
A falha descoberta permitia fazer esse processo sem a necessidade da validação. O método para burlar o sistema era tão simples, que hackers já estavam disponibilizando esse serviço na internet cobrando preços baixos, a partir de US$ 20. O método se espalhou pela rede e chegou a fazer sucesso nos países árabes.
A falha foi descoberta pela equipe da Vulnerability Labs em 6 de abril, mas a empresa esperou até o dia 20 para comunicar à Microsoft. Horas depois de receber o aviso, a Microsoft lançou uma correção para o problema. Identificar se você foi vítima de um caso como esse é simples: basta acessar a sua conta e, se a senha não funcionar, é porque algo de errado aconteceu.
Entretanto, se a constatação é simples, o mesmo não se pode dizer da resolução, já que para alterar essas propriedades o hacker modifica as informações de recuperação, o que torna o processo trabalhoso. A melhor solução é enviar um pedido de suporte à Microsoft, que deve analisar cada caso em especial.
Fonte: Ars Technica