Re: <nettime> hotmail's hacked

[Wau Holland <wau@minos.trend.jena.thur.de>]

On Mon, Aug 30, 1999 at 10:37:37PM +0200, Thilo Barth wrote:
...
> Laut Message-ID <37cd9e15.20949613@news.bcn.ttd.net> (via deja.com)
> war auf der nun umgeleiteten Seite nur ein Formular, das den Username
> erfragte und dann folgenden Request abschickte:
> 
> | http://207.82.250.251/cgi-bin/start?curmbox=ACTIVE&js=no
> | &login=username&passwd=eh
> 
> Tja.. cgi-bin - sieht nach MSchlamperei aus.
...

Beim CCC kam von Pirx folgendes forward mit gleicher Aussage:

---schnippp---
           Re:more info? (Score:2, Informative)
           by Anonymous Coward on Monday August 30, @10:05AM EDT (#70)
           Using interMute and turning on URL logging it wasn't hard to see
what+their script does. All it does is redirect you to
           the following URL:


+http://207.82.250.251/cgi-bin/start?curmbox=ACTIVE&js=no&login=ENTERLOGINHERE&p+assw
d=eh

           replace ENTERLOGINHERE with the account you are cracking.

           This seems like a clear-cut backdoor type crack, hotmail is
stupid
+enough to think that if you come in with the right
           URL, you must have got it through being authenticated at MSN
+passport. How unbelievably stupid.

---schnappp---


> Funktioniert ausserdem auch nicht mehr (403/forbidden).
> 
> Mal sehen, ob sich noch etwas tut mit Haftungsansprüchen gegenüber
> Hotmail und so. 

Hmmm.
Dafuer haette ich gern ein Skript.
Welches Leistungsversprechen gibt Hotmail denn ab?

Vermutlich kann man einem Richter erklaeren, dass eine Tuersprechanlage,
die bereits bei korrekter Aussprache des Namens die Tuer oeffnet, eher
saugrob fahrlaessig als nur grob fahrlaessig die Tuer oeffnet.
wau