Hackear cuentas Hotmail, MSN y Live

Hace unos meses atrás se había descubierto un bug en Hotmail que te permitía robar cualquier cuenta de Hotmail, MSN y Live y que muchos Hackers se aprovecharon de esto para vender «el servicio» de recuperación.

¿Cómo funcionaba? Bueno cuando creamos una nueva cuenta de correo en Hotmail, se requiere de un campo llamado «Correo alternativo«, este correo electrónico sirve para poder recuperar tu contraseña en caso de extraviarla.

El primer paso era ingresar a la dirección maccount.live.com

El segundo paso consistía en elegir la opción ¿Olvidó la contraseña?, acto seguido era la de escribir el correo de la «victima» y el número captcha que desplegaba el sistema:

En el tercer paso aparecía una página donde hay dos o más opciones, esto dependía del correo de la «victima», una de ellas es la que te permitía obtener control total de la cuenta de correo, esa opción es «Restablecer la contraseña, por correo electrónico«.

En este punto el sistema nos dice que para continuar con los pasos de restauración de contraseña, se enviará un correo electrónico con el procedimiento al correo alternativo y es aquí cuando se encuentra el BUG, ya que observando el código fuente del sitio, hay errores de seguridad ya que los programadores situaron el correo alternativo en un campo «hidden».

¿Y esto que significa? que podemos modificar el campo del correo alternativo en «tiempo real» ya sea con alguna herramienta como «Tamper Data» para Firefox o el WebDeveloper también para Firefox y así evitar que se envíe el correo electrónico con el link para modificar la contraseña al verdadero remitente y en lugar de ello enviarlo a donde nosotros deseemos.

Hasta lo grandes cometen errores y esto es algo demasiado básico, obvio esto ya no funciona por que hay soplones y «abrieron la caja de Pandora», pero uno nunca sabe, tal vez si observas bien te puedes llevar una sorpresa.

Mi recomendación para ustedes es que no usen Inputs de tipo Hidden al momento de manipular datos críticos.