Hace aproximadamente una semana, un chico holandés de 16 años reportó a Microsoft un exploit en XSS (cross site scripting) que encontró en Hotmail. Pues bien parece mentira que con lo grave que es, ya que permite a cualquier hacker conseguir entrar en una cuenta sin necesidad de conocer ni la dirección de correo de la víctima ni la contraseña, Microsoft no haya arreglado este bug todavía.
El exploit permite el control total sobre la cuenta mediante el robo de cookies y luego la falsificación de esta cookie para así tener el control total sobre la cuenta. Luego a través de XSS podemos insertar un código javascript que enviaría la cookie a un servidor con los datos en un script. Esto puede estar escrito en PHP, ASP, CGI, prácticamente en casi todo.
Recomendamos desde aquí que se ande con mucho ojo con este exploit, ya que puede estar en sitios web, correos, o en mensajes instantáneos. Vigilad donde hacéis clic, ya que os podéis quedar sin cuenta.
