Yahoo! Mail is niet de enige webmaildienst vatbaar voor de methode waarmee Sarah Palin, vicepresidentskandidaat voor de Republikeinen, is gecrackt. Ook Windows Live Hotmail en Google Mail kunnen misbruikt worden.
Dat blijkt uit een korte test uitgevoerd door het Amerikaanse Computerworld. Beide webmaildiensten vertrouwen op automatische wachtwoordherstelmechanismen. Het enige benodigd om het wachtwoord van een Hotmail, Gmail of Yahoo!-account te veranderen is de gebruikersnaam en het antwoord op één enkele beveiligingsvraag.
Computerworld-verslaggevers en -editors waren in staat om in de accounts van hun collega’s te breken op alle drie drie de webmaildiensten, vervolgens konden zij het wachtwoord opnieuw instellen met alleen de gebruikersnaam en het antwoord op eenvoudige vragen als de meisjesnaam van de moeder, het eerste type auto of de naam van het eerste huisdier.
Sommige van deze informatie is eenvoudig te vinden op sociaalnetwerksites of door simpelweg op het internet te zoeken. Dit is exact dezelfde methode die de student gebruikte om de Yahoo! Mail-account van Sarah Palin te kraken.
Crackers die de gebruikersnaam weten, iets wat vaak het eerste deel van het e-mailadres is, en de CAPTCHA correct invoeren, hoeven alleen nog maar het antwoord op de beveiligingsvraag te leveren. Hoewel alle drie de diensten de mogelijkheid bieden om de herstelinstructies naar een tweede e-mailadres te sturen, is dit niet verplicht of is het te omzeilen.
Adam O’Donnell, directeur van opkomende technologieën bij berichtenbeveiliger Cloudmark Inc., vertelde dat automatisch wachtwoordherstel de regel is bij webmaildiensten, en dat het niet uitmaakt of de service gratis is of dat deze aangeboden wordt voor een maandelijkse bijdrage bij een internetserviceprovider.
Hoewel andere beveiligingsexperts skeptisch zijn over de claim dat de student er slechts 45 minuten over deed om de account van Sarah Palin te kraken, noemt O’Donnel het ‘zeer aannemelijk.’
12 uur geleden
