Accounts Office 365 met cookieaanval te kapen

Abonneer je gratis op Techzine!

Ethisch hacker Sam Bowne, professor op City College San Francisco, heeft zeven websites gevonden waarbij het hergebruiken van cookies mogelijk is en gebruikt kan worden om accounts te kapen.

Het gaat om Office 365, Yahoo! Mail, Twitter, LinkedIn, Amazon, eBay en WordPress.

Microsoft is al sinds 2012 op de hoogte van het risico van hergebruiken van cookies, maar sloot zijn ogen en liet weten dat het een bekend probleem was dat "in de toekomst verholpen zou worden". Dat is niet gebeurd en de fout zit nu dus ook in het betaalde Office 365.

De aanval werkt heel eenvoudig: iedereen die de cookies van bovenstaande diensten in handen kan krijgen, hoeft deze alleen in zijn eigen browser te importeren en krijgt toegang tot de inhoud van die accounts. Het in handen krijgen van cookies is mogelijk met een XSS-aanval, malware of het stelen van een smartphone, tablet of laptop.

Op de website van Bowne zijn de stappen beschreven om, als de cookies eenmaal zijn verkregen, de aanval uit te voeren met Office 365. In deze handleiding gebruikt hij Google Chrome en een add-on. De stappen zijn door iedereen uit te voeren.

Andere grote spelers zijn ook vatbaar, zoals dus eBay, Amazon en ook Netflix. Gmail, Tweetdeck en Facebook stellen niet vatbaar te zijn voor het hergebruiken van cookies. Sam Bowne moedigt gebruikers aan meer webdiensten te testen en de resultaten te melden via twitter op @sambowne.