A falha estava na página de envio de um link para redefinição de senha. Ao acessar a página "Esqueci minha senha", o usuário deve inserir a conta e, logo depois, confirmar o e-mail secundário cadastrado. Essa página envia uma requisição ao servidor que pode ser alterada por uma extensão do Firefox, a Tamper Data. Dessa forma, era possível enviar o link para outro endereço de correio eletrônico que, se for controlado por uma pessoa mal intencionada, daria acesso a conta "atacada".
A vulnerabilidade foi descoberta por um hacker árabe no começo deste mês, mas ao ser divulgada em um fórum de hackers ela acabou sendo explorada cada vez mais. Pelo menos até a Microsoft descobrir e corrigir a falha. A empresa, até agora, não emitiu nenhum comunicado oficial sobre essa ameaça.
Postar um comentário