Hotmail: Loch im Postsack

Microsofts Hotmail gehört zu den populärsten und größten kostenfreien E-Mail-Diensten der Welt. Und zu den löchrigsten, wie es scheint: Ein IT-Sicherheitsexperte knackte mühelos die Sicherheitsvorkehrungen von Hotmail und Passport.

Beliebt: Hotmail gilt als größter Freemail-Service der Welt

Hotmail ist beliebt, und das, obwohl der Dienst unter Lästermäulern auch als "Spam Central" bekannt ist. Das liegt nicht nur daran, dass über Hotmail-Adresse eine Menge Werbemüll versandt wird, sondern auch daran, das die Besitzer von Hotmail-Postfächern sich regelmäßig über reichlich Post freuen dürfen.

Einer der Hauptgründe dafür liegt in der Tatsache, dass wohl kein Freemail-Service in der Vergangenheit so häufig von Hackern geknackt wurde wie Hotmail. Kurz, nachdem der Dienst von Microsoft aufgekauft wurde, gelang Hackern ein Einbruch in die Hotmail-Systeme, bei dem rund 30 Prozent aller Kundendaten abgeschöpft wurden. Die betroffenen Kunden konnten sich in der Folge über eine Flut origineller Werbung freuen: Waffenhändler, russische Callgirls oder Pornoseiten machten täglich und in dreistelliger Zahl auf sich aufmerksam.

Die Popularität des Dienstes konnte das nicht brechen, und Microsoft investierte tatsächlich massiv in die Sicherheitsvorkehrungen des Freemail-Dienstes. Nicht zuletzt darum, weil hier erstmalig "Passport", der Identifikations- und Verifikationsservice von Microsoft zum Einsatz kam. Dem soll man, wenn es nach Microsoft geht, unter anderem auch Dinge wie Kreditkartennummern anvertrauen können.

Schön wäre das, meint nun ein IT-Sicherheitsexperte in der amerikanischen Zeitung "USA Today", wohl vor allem für Hacker: Für die stellt der ach so dichte Postsack Hotmail eher so etwas wie eine löchrige Socke dar.

Den Nachweis führte der Experte im Experiment: Er schmuggelte im Verfahren des "Cross-Site-Scripting" kleine Schnüffelprogramme in die Hotmail-Server ein und begann, am ausspionierten Code herumzudoktern. Auf Anhieb gelang es ihm durch die Manipulation von nur drei Codezeilen, sich einen unauffälligen Zugang zu Hotmail und Passport zu verschaffen. In einem zweiten Anlauf manipulierte er sich durch die Veränderung nur einer Codezeile erfolgreich ins System.

Microsoft hat die betreffenden Lücken inzwischen gestopft, was das Problem nach Expertenmeinung aber nicht grundsätzlich löse: Es bestehe die Gefahr, dass künftig immer mehr Hacker solche Techniken benutzen könnten. Im schlimmsten Fall drohten dann nicht nur Werbebroschüren von Banditen und Bordellen, sondern auch handfester Datendiebstahl.