Bug no correio eletronico "Hotmail"

Posted: 21 dezembro 2010 by Bhior in Marcadores: , ,
6






Ha algum tempo atras, era banal você ver em fóruns, blogs, sites e etc, como "hackear orkut" por e-mail não registrado. com a inclusão digital(Maldita inclusão) isso acabou virando febre.

Nesse tutorial, vou mostrar um bug no hotmail, que também e de e-mail não registrado.

No momento em que você criar uma conta de hotmail, o formulário de cadastro te da uma opção de restauração de senha através de um e-mail alternativo, caso você use uma conta que não e registrada ou o e-mail acaba sendo aspirado, abre uma brecha para um possível atacante.

Vamos ao método, vamos escolher um e-mail "@hotmail.com", entre no http://maccount.live.com

Clique em "Esqueceu sua senha?" e na próxima pagina preencha o primeiro campo com o e-mail alvo, e o segundo para autenticação, seguindo a orientação da imagem.


Nessa pagina e mostrada algumas configurações, mostrando as informações que que são inseridas na criação da conta, a importante nesse caso e de redefinição de senha por e-mail secundário.


Agora nessa pagina o "bicho pega", então você vai me perguntar, como vou saber qual e o e-mail, se apenas mostra as iniciais do e-mail... e então que entra o truque :p, abrimos o código fonte da pagina e "voila" nos mostra o e-mail completo.

Bom, temos as informações necessárias, agora e torce para que a conta esteja sem registrar ou desativada por inatividade. Dependo de onde a conta secundaria foi criada, você vai ter que criar uma nova conta, nesse caso, foi uma do hotmail, entre em https://login.live.com/.

Supimpa, se a conta não tive sido registrada, você faz todo o procedimento de criar uma nova conta com o id, apos a criação e simplesmente ir e pede uma redefinição de senha através do e-mail alternativo.

Bom, acompanhe o video com o ataque em tempo real.
Acho que não preciso dizer que e para fins acadêmicos...

# Venha ressaltar que o user que usei para a vídeo aula, e um contato que tenho no meu cliente, mas não tenho nenhum contanto ou afinidade, na verdade nem lembro de onde e como o conheço, e deixo claro que não e perseguição, simplesmente o usuario estava com essa falha e acabei usando como modelo na aula, para a recuperação de sua conta, entre em contato comigo.









6 comentários:

  1. ate ontem essas tecnica estava funcionando hj quando fui usar em minhas pesquisas não consegui ,e agora eles estão passando os dados do usuario pelo metodo post .

  1. CryT3k says:

    já corrigiram, ontem :S

  1. Caique says:

    kk q pena! hj n conseguir entra! mas foi otimoo

  1. Anônimo says:

    cara eu nao acreditooo estava atras de descobrir o email alternativo de um email ano passado criei até um topico no invaders sobre isso e aparece essa falha e nao aproveitei caralho :\

    mais valeu

  1. Anônimo says:

    pow bahiano gostei da video aula ai sua é da musica ai se puder manda essa musica ai pra mim firma equipwindoslive@hotmail.com blz a pode me add tambem cara =)

  1. Bhior says:

    pow bahiano gostei da video aula
    _________

    Oi,
    Você me conhece?

    A musica e "Erva danada".

    Abraços