Microsoft verzweeg hack van duizend Hotmail-accounts

[Captain Kirk]

Microsoft heeft in 2011 een hack van meer dan duizend Hotmail-accounts tegenover de betrokken gebruikers verzwegen, waardoor de aanvallers met hun campagne konden doorgaan, zo laten ex-werknemers van het softwarebedrijf tegenover persbureau Reuters weten.

De aanvallen waren gericht tegen Tibetaanse en Oeigoerse minderheden in China. Experts van Microsoft concludeerden dat de aanvallen door de Chinese autoriteiten waren uitgevoerd, aldus de ex-werknemers. In een verklaring bevestigt Microsoft dat het gebruikers niet heeft ingelicht, maar dat het de bron van de aanvallen niet kon identificeren, omdat ze vanuit meerdere landen afkomstig waren. "We hielden ook rekening met de potentiële impact op daaropvolgend onderzoek en maatregelen die we aan het nemen waren om mogelijke toekomstige aanvallen te voorkomen", aldus de verklaring van het softwarebedrijf.

Om gebruikers te beschermen werden die verplicht om hun wachtwoord te wijzigen. De aanvallen op de getroffen gebruikers maakten gebruik van een kwetsbaarheid in de webpagina's van Microsoft, waardoor het mogelijk was om e-mail van gebruikers naar accounts van de aanvaller te laten doorsturen. Volgens het Japanse anti-virusbedrijf Trend Micro zouden er meer dan duizend Hotmail-accounts op deze manier zijn gehackt.

Nadat Microsoft de kwetsbaarheid had gepatcht maakte de virusbestrijder het onderzoek in 2011 bekend. Microsoft zelf startte ook een onderzoek, waaruit bleek dat de aanvallen in juli 2009 waren begonnen en waren gericht tegen accounts van Tibetaanse en Oeigoerse leiders in meerdere landen, alsmede Japanse en Afrikaanse diplomaten, mensenrechtenactivisten en personen met gevoelige posities binnen China, aldus twee voormalige Microsoftmedewerkers. Gisterenavond maakte Microsoft bekend dat het gebruikers voortaan voor overheidsaanvallen gaat waarschuwen. Of de publicatie van het artikel door Reuters hier iets mee te maken heeft wilde het softwarebedrijf niet vertellen.

 

 

bron: security.nl