Hackers vendiam serviço de roubo de conta por US$ 20

Hackers estavam explorando uma vulnerabilidade na função de "recuperação de senha" do Hotmail para roubar qualquer conta de usuário do serviço, de acordo com o site "Whitec0de". Criminosos estariam cobrando US$ 20 (cerca de R$ 35) para realizar o "serviço" em uma conta da rede Live da Microsoft.
A Microsoft confirmou a correção de uma falha no serviço nesta quinta-feira (26) por meio do Twitter (clique aqui para acessar), mas não forneceu outras informações.
A falha foi encontrada pelo pesquisador Benjamin Kunz Mejri. De acordo com um boletim que Mejri escreveu sobre a falha, a Microsoft foi avisada a respeito do problema no dia 6 de abril. O problema teria sido consertado já no dia 21.
Brecha era de fácil exploração
Segundo o especialista que descobriu o erro, a função de recuperação de senha do Hotmail usa um recurso chamado de "token". O token é um código que verifica a legitimidade de uma solicitação de troca de senha. Em uma parte do processo, o Hotmail não verificava se o token era válido.
O token só pode ser obtido após responder corretamente a "Pergunta Secreta" ou receber um código em um número de telefone cadastrado na conta. No entanto, como o token não era verificado, um hacker poderia trocar a senha de qualquer pessoa, mesmo sem ter a resposta da pergunta ou acesso ao telefone.
De acordo com o site "Whitec0de", a brecha poderia ser explorada usando a extensão "Tamper Data", do Firefox. A "Tamper Data" exibe em tempo real as informações que o navegador está enviando e recebendo durante a navegação. Usando a extensão, o invasor apenas precisava informar como token o código " +++)-" e a troca de senha seria aceita.