Rutgerio universiteto (JAV) kompiuterinių tinklų saugumo tyrėjai teigia, kad jų atrastas įsilaužimo būdas yra nesudėtingas, o jį įgyvendinti galima dėl „Hotmail“ paskyroms taikomos politikos ir prisijungimo prie „Facebook“ specifikos.
„Hotmail“ el. pašto paskyrų galiojimas baigiasi, jeigu jos nėra naudojamos 270 dienų. Po šio laiko el. pašto adresas gali būti suteiktas bet kuriam naujai šioje tarnyboje užsiregistruojančiam vartotojui. Prie „Facebook“ prisijungiama įvedant savo el. pašto adresą. Pasinaudojus šiuo adresu galima pakeisti pamirštą, ar neva pamirštą paskyros slaptažodį.
Taigi, įsilaužėlis tam tikrą profilį užvaldyti gali sužinojęs, kad vartotojas prie jo jungiasi su jau nebenaudojamos „Hotmail“ el. pašto dėžutės adresu. Patikrinti tai įmanoma išsiuntus bandomąjį laišką. Jeigu gaunamas atsakymas, kad laiškas nepasiekė adresato, aišku viena - dėžutė nenaudojama.
Vėliau įsilaužėlis užsiregistruoja „Hotmail“ sistemoje, pareikalauja iš naujo aktyvuoti nenaudojamą adresą, o jungiantis prie „Facebook“ sumeluoja apie neva pamirštą slaptažodį. Į pašto dėžutę tuomet jam atsiunčiamas laikinas slaptažodis. Telieka su juo prisijungus į „Facebook“ paskyrą sukurti naują slaptažodį ir galutinai ją užvaldyti.
Saugumo skylę atradę tyrėjai šiuo būdu sėkmingai užgrobė iš viso 15 „Facebook“ profilių, tačiau dėl „etinių dilemų“ ir „potencialių teisnių problemų“ nutraukė eksperimentą. Jų skaičiavimu taip pažeidžiamų paskyrų „Facebook“ sistemoje yra apie 1 mln. Palyginti su 1 mlrd. „Facebook“ vartotojų visame pasaulyje tai nėra didelis skaičius.
Saugumo specialistų komanda saugumo spragą pristatys šią savaitę vyksiančioje „International World Wide Web“ konferencijoje Rio de Ženeire.
„Microsoft“ atstovas NewScientist.com teigė, kad ši spraga nėra nei „Facebook“, nei „Hotmail“ tarnybų problema, kadangi vartotojas nustojęs naudotis „Microsoft“ paskyra, turėtų lygiai taip pat nustoti ją sieti su kitomis tarnybomis ir nebenaudoti jos adreso jokiems prisijungimams.
