Hotmail-Loch vorerst gestopft

Rund zwölf Stunden nach Bekanntwerden des Hotmail-Hacks hat Microsoft gemeldet, das Problem behoben zu haben.

In Pocket speichern vorlesen Druckansicht 25 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Norbert Luckhardt

Rund zwölf Stunden nach Bekanntwerden des Hotmail-Hacks hat Microsoft gemeldet, das Problem sei behoben. Zwischendurch habe man den Hotmail-Server vom Netz genommen. In der Redaktion gingen allerdings noch bis in die Nacht Berichte von Lesern ein, wonach sie weiterhin ohne Passwort in Hotmail-Accounts eindringen konnten. Nach der Microsoft-Verlautbarung um 2 Uhr morgens unserer Zeit scheint das allerdings nicht mehr möglich gewesen zu sein. Eine Erklärung über die technischen Hintergründe, durch die der Angriff möglich war, blieb Microsoft bisher schuldig.

Unterdessen berichtete Wired, eine bisher unbekannte Gruppe mit dem Namen "Hackers Unite" habe sich zu dem Angriff auf Hotmail bekannt. Man habe damit auf Microsofts Schlampigkeit in Sicherheitsfragen aufmerksam machen wollen, soll ein Mitglied der achtköpfigen Gruppe gegenüber der schwedischen Presse erklärt haben.

Auf der Suche nach dem Hack sollte man übrigens keinesfalls selbst geheime Informationen weitergeben: Eine Webseite beschrieb eine "ziemlich große Sicherheitslücke", von der "zum Glück nicht viele Leute wissen". Eine "vergessene Passwörter"-Funktion im Hotmail-Server ermögliche, sich fremde Zugangskennungen per E-Mail zusenden zu lassen. Dabei müsse man von einem Hotmail-Account aus an die Adresse "sys_passwin@hotmail.com" schreiben und sein eigenes Passwort zur Autorisation angeben. Der Service sei allerdings etwas unzuverlässig: Es dauere manchmal viele Tage, bis Antwort kommt - manchmal käme sie auch gar nicht. Anscheinend versucht hier jemand, auf elegante Weise selbst Passwörter von Hotmail-Benutzern zu sammeln.

Hotmail prüft zwar bei Account-Anmeldungen auf bestimmte Schlüsselwörter und lässt "admin", "daemon", "support", "info" und einige weitere nicht zu. Auch die Accounts "security@hotmail.com" und "recoverpw@hotmail.com" existieren jedoch bereits. Es ist auch nahezu unmöglich, jegliche Adresse von vornherein auszuschließen, die sich für Bauernfängerei eignet. Faustregel: Geben Sie nie Ihr Passwort weiter. (nl)