マイクロソフトのWebサイトのエラーのおかげで、犯罪者は1週間にわたってHotmailアカウントからメールを盗みました。
5月12日、トレンドマイクロは台湾から被害者の箱に送信されたメッセージを発見しました。 メッセージはFaceBookからの通知のように見えました。 手紙は、誰かが彼女のFBアカウントにアクセスしたことを被害者に警告しました。
実際、手紙にスクリプトが導入され、被害者のすべての電子メールがハッカーに送信されました。
スクリプトが機能するためには、被害者が自分のHotMailアカウントにログインする必要がありました。 スクリプトは、レターの内容の通常のプレビューでも実行されました。
MicrosoftのWebサイトに一般的なWebプログラミングエラー-クロスサイトスキップがあったため、攻撃は成功しました。
「スクリプトはHotmailサーバーに送信される特別なリクエストを作成します。 その後、彼はすべての被害者のメッセージを特定のメールアドレスに転送します」とトレンドマイクロのブログは述べています。
一般に、クロスサイトスクリプティングなどのエラーはWebで頻繁に見つかりますが、Windows Hotmailなどの重要で広く使用されているサイトでは非常にまれです。
トレンドマイクロはすぐにこれをマイクロソフトに報告しました。 攻撃の影響を受けたHotmailユーザーの数は明らかではありません。
トレンドマイクロによると、攻撃はあまり一般的ではありませんでした。 トレンドマイクロの専門家であるジャムズ・ヤネザ氏によると、約1,000から2,000人の犠牲者が出ます。
しかし、トレンドマイクロは、この脆弱性がどのくらいの期間サイトに存在していたのかわからないと付け加えました。
この脆弱性は現在修正されています。