罪犯最近花了一个多星期虹吸从Hotmail电子邮件用户的账户,由于编程错误在微软的网站。
缺陷给黑客来阅读和窃取Hotmail电子邮件用户,根据安全厂商趋势科技,这正是他们所做的,特别制作的电子邮件消息发送给数千受害者。
5月12日,趋势科技发现了一个消息发送到受害者在台湾,看上去像是一个Facebook通知提醒。中文电子邮件似乎是警告受害者有人访问他们的Facebook账户从一个新的位置。
事实上,这是一个诡计。埋在转发的邮件是专门写脚本黑客的受害者的电子邮件消息。
对这次袭击,受害者必须登录到Hotmail,但是脚本将运行简单的消息,即使受害者预览。攻击工作因为微软有一个常见的Web编程错误,称为跨站点脚本漏洞,在其网站上。
“脚本触发一个请求发送到Hotmail服务器,“趋势科技中写道博客中描述的问题。然后它“将所有受影响的用户电子邮件消息发送给特定的电子邮件地址。”
跨站点脚本漏洞在网上很容易找到,但他们在重要,广泛使用的Windows Live Hotmail等网站。
趋势科技报道这个问题立即微软,它终于周五固定,根据微软。目前还不清楚有多少Hotmail用户遭受攻击。
根据趋势科技,似乎并没有被广泛的攻击。公司能够计算在1000年到2000年之间受害者在发现问题之后,说Jamz Yaneza,趋势科技研究经理。然而,趋势科技没有办法知道多久缺陷被发现之前,他补充说。
罗伯特·麦克米兰涵盖了计算机安全和通用技术新闻IDG新闻服务。在Twitter上关注罗伯特@bobmcmillan。罗伯特的电子邮件地址robert_mcmillan@idg.com