Tin tặc khai thác lỗ hổng web đánh cắp nhiều thư Hotmail

Gần đây, tội phạm mạng đã có hơn một tuần để xem trộm e-mail từ nhiều tài khoản của người dùng Hotmail do một lỗi lập trình trong website của Microsoft.

Tin tặc đã lợi dụng lỗ hổng để đọc và đánh cắp e-mail từ nhiều người dùng Hotmail. Theo hãng bảo mật Trend Micro, tin tặc đã gửi những e-mail được tạo ra một cách đặc biệt đến vài nghìn nạn nhân.

Hôm 12/5/2011, Trend Micro đã phát hiện một e-mail được gửi đến nạn nhân ở Đài Loan, trông giống như thông báo của Facebook. E-mail bằng tiếng Hoa này dường như cảnh báo nạn nhân là ai đó đã truy cập tài khoản Facebook của họ từ một địa điểm mới.

Trong thực tế, đó là một trò bịp bợm. Ẩn bên trong e-mail là một đoạn mã lệnh được viết để chuyển tiếp (forward) các e-mail của nạn nhân cho tin tặc.

Điều kiện để thực hiện tấn công là nạn nhân phải đã đăng nhập vào Hotmail, và đoạn mã sẽ chạy ngay cả khi nạn nhân chỉ xem trước (preview) e-mail. Vụ tấn công đã thành công vì website của Microsoft “dính” một lỗi lập trình web phổ biến, được gọi là lỗ hổng kiểu XSS (cross-site scripting - "kịch bản liên trang").

Trend Micro thông báo với Microsoft ngay lập tức, và cuối cùng vấn đề đã được khắc phục hôm thứ Sáu 20/5/2011, theo Microsoft. Không rõ có bao nhiêu người sử dụng Hotmail bị ảnh hưởng do cuộc tấn công này.