Trend Micro descubrió el problema el 12 de mayo, cuando encontró un mensaje enviado a una víctima en Taiwan que parecía una alerta de notificación de Facebook. En él, se alertaba a la víctima de que alguien había accedido a su cuenta de Facebook desde una nueva localización.

El error de programación ha permitido a los hackers leer y robar mensajes de correo electrónico de los usuarios de Hotmail, según la firma de seguridad Trend Micro, enviando mensajes especialmente manipulados a varios miles de víctimas.

Dentro del mensaje se incluía un script que dirigía después los mensajes de los usuarios a los hackers. Pero para que el ataque funcionara, las víctimas debían haberse autenticado en Hotmail y abrir el mensaje. Si simplemente se previsualizaba, el ataque no resultaba efectivo. El fallo en el website de Microsoft que ha permitido a los hackers llevar a cabo su objetivo es un error común de programación web cross-site scripting.

“El script malicioso dispara una petición que es enviada al servidor Hotmail”, explica Trend Micro en una entrada de blog donde describe el ataque. “Después, este envía todos los mensajes de correo electrónico del usuario afectado a una determinada dirección de e-mail”.

Trend Micro informó a Microsoft sobre el asunto tan pronto lo descubrió, y esta resolvió el fallo el pasado viernes.

Fuente: macworld