Önemli: Hotmail XSS Açigi ve Uyarisi

Internet Dünya’sinin en çok kullanilan E-Posta Servisi Hotmail’de meydana gelen ciddi bir güvenlik açigi Hacker (Bilgisayar Korsanlari)‘nin eline düstü. Hacker’lar her geçen gün kurbanlarini ele geçirmek için yeni yöntemler kesfediyorlar. Iste bunlardan bir tanesi Dünya üzerinde her ülkeden her insanin kullandigi Hotmail ‘deki XSS Güvenlik Açigi.

Bu Güvenlik açigi nasil çalisiyor; hakkinda biraz bilgi vereyim ;


Öncelikle Hacker’lar Hotmail’in XSS Kodunu Bedava (Free) bir Hosting’e yerlestiyorlar burada sizin ilginizi çekecek bir site kuruyorlar. Örnegin Ögretmensiniz ve Milli Egitim Bakanliginin Yeni Ögretmen Atamalari Hakkindaki Genelgesi Hakkinda bir bilginiz. Hacker bunu biliyor ve sizin ilginizi çekecek olan bu siteyi kuruyor. Siteyi kurarken için Hotmail’in XSS Güvenlik Açigina neden olan Kod’u yerlestiriyor ve sitenin ismini size E-mail olarak yolluyor.

E-mail kutunuza gelen site link’ine tiklarsaniz, Bilgisayarinizdaki Cookie(Çerez)’ler hacker’in sitenin içine yerlestirmis oldugu Kod sayesinde hacker’a gidiyor. Hacker daha sonra bu Cookie’lerin içinden sizin Hotmail Hesabiniza ait olan Cookileri bulup birkaç kod ekleme islemi ile degistirip kaydediyor. Daha sonra kendi bilgisayarindan sifresiz olarak sizin E-mail’lerinizi okuyabiliyor.

Peki sadece okumakla yetiniyor mu hacker’lar ? Tabii ki hayir! Iste sadece bir hacker’in düsünebilecegi bir kurnazlik daha gösteriyorlar burada. Hotmail Giris bölümüne geri geliyorlar ve “ Parolami Unuttum “ seçenegine tiklayarak sizin E-mail adresinizi giriyorlar, Sifrenizin E-Posta olarak sizin E-mail hesabina gelmesine neden oluyorlar. Daha sonra sifresiz olarak giris yapabildikleri için giriyor ve hotmail’in göndermis oldugu “Kayip Parola“ Istegi mail’inin içindeki sifrenizi aliyorlar. Ve sifreyi, Gizli Sorunuzu ve ya diger tüm bilgilerinizi tamamen ele geçirmis oluyorlar.


Bu Güvenlik Açigindan Hotmail’in Haberi Yok mu ? Var ancak su an için bir çözüm ya-da yama yayinlanmadi. Ülkemizde özellikle son 1 haftada bir çok kisinin E-Posta hesabi bu yöntem ile hack edildi.

Hotmail Hesabinizla Neler Yapilabilir?

Ömcelikle size gelen mailler okunabilir. Tabi çogu kisi gibi, hotmail türü emailleri sadece üye oldugunuz mail listelerinden gelen mailler için kullaniyor. Siz bu tür bir kullanim yapiyor ve bu nedenle de "önemli degil" diye düsünüyorsaniz, yaniliyorsunuz. Çünkü Bilisim Polisinin ülkemizde çok yapildigini bildirdigi ve uyardigi sibersuçlardan birisi "cep telefonu kontür" hirsizligi.

Kontür hirsizligi özellikle internet cafeleri kullanan askerlerin basina geliyordu ama bugünlerde bu açik nedeniyle herkesin basina gelebilir oldu. Hotmailinizi ele geçiren kis, eger bir adres defteriniz varsa, o defterdeki kisilere mail atarak, "kontür" ihtiyaciniz oldugunu ve göndermesini rica ettiginizi bildiriyor. Bu yollanan kontürleri de sonra satiyor. Bu yolla epeyce yolunu bulanlar oldugu yine Bilisim Polisi tarafindan iletilen bir husus.