Link alla notizia: http://www.hwupgrade.it/news/software/migliaia-di-account-hotmail-a-rischio_30338.html

Microsoft conferma: le credenziali di migliaia di account Hotmail sono state pubblicate online. Il problema sarebbe però da ricondurre a phishing

Click sul link per visualizzare la notizia.

Bah.. non penso c'entri Microzoz.. piuttosto ho il sospetto che sia merito di tutti quei polli che rispondono alle mail di inviti/iscrizioni di tutti quei (discutibili) siti di social networking inserendo le stesse user e password dei loro account Hotmail :asd:

Ciao

concordo con gomax, ci sono siti si social networking che ti chiedono la password dell'account Live per invitare automaticamente i tuoi contatti... credo sia più facile che la provenienza delle password sia quella...

Beh, spero bene che non provengano da "archivi" M$, perchè loro non dovrebbero averle le password, ma solo gli HASH delle password, se così non fosse sarebbe una falla di sicurezza immensa...

Molto più probabile che si tratti di phishing... anche a me arrivano spesso email di gente che mi invita a siti "cloni" di windows live che chiedono user e pass...

Da quanto riporta Neowin.net l'elenco disponibile era relativo solo a profili con lettera iniziale a e b, ma questa circostanza potrebbe suggerire l'esistenza di un archivio ben più ricco.

Oppure ch qelli che hanno un account con quelle iniziali sono piu vulnerabili al phishing.. XD XD

saranno stati i polli Doc, che usano quei sitonzoli che ti dicono chi ti ha bloccato su messenger, e chiedono la tua mail e password..cocoocococodee :asd:

http://www.tunoticierodigital.com/foro/hackearon-hotmail-t10268.html

nel 2009 jabber, gmail e linux possono salvarti da aziende come microsoft.....

LinoX, a che scopo mettere quel link? Per peggiorare la situazione?

nel 2009 jabber, gmail e linux possono salvarti da aziende come microsoft.....

a me hanno crakkato la password di gmail e non la inserisco nel primo link che mi arriva sottomano,a parte che è accaduto dopo l'ultimo down chissà che centri qualcosa...come vedi sono tutti sulla stessa barca


P.s: poi non ho capito perche i polli debbano essere solo quelli con le iniziali a e b...

beh dai però password tipo 123456 fan cadere le braccia, spero siano account fasulli (il mio acccount non c'è e inizia per a)
xò alcune password son un po' troppo complicate per credere all'utonto sbadato

beh dai però password tipo 123456 fan cadere le braccia, spero siano account fasulli (il mio acccount non c'è e inizia per a)
xò alcune password son un po' troppo complicate per credere all'utonto sbadato

ma perchè.. c'è una lista on line di questi account ?

ma perchè.. c'è una lista on line di questi account ?

C'è il link qualche post sopra..

Sicuramente Phishing, è tantissima la gente che casca a "Vedi chi ti ha bloccato su messegner" "Messenger diventa a pagamento" "Vieni nel nostro social network con i tuoi dati live".
Eh purtroppo la "niubbagine" esiste e ci passano tutti... poi c'è chi è piu furbo di un altro quello si :stordita:

@ Khelidan1980:
Anche a te è successo? Azz pensavo/speravo di essere stato l'unico...
La cosa strana è che ho cambiato password (e purtroppo non ricordo da quale computer) è la situazione non è cambiata...
Ho dovuto accendere il muletto, copiare quì e la lettere per formare la password voluta, memorizzarla su un file di testo, copiarlo sul pennino, aprire GMail dal mio computer principale e modificare la password copiandola dal file precedentemente creato... E finalmente non invio più spam a me stesso (che andavano nella cartella SPAM quindi chissà per quanto tempo è durato...)!
Ora ho preso l'abitudine di copiarla dal file di testo oltre a non essere più semplicemente formata da caratteri alfabetici...

Ma forse ho capito... i polli non sono quelli con account che iniziano con A o con B... ma siamo noi nati nel 1980! (Ironico)

@ Khelidan1980:
Anche a te è successo? Azz pensavo/speravo di essere stato l'unico...
La cosa strana è che ho cambiato password (e purtroppo non ricordo da quale computer) è la situazione non è cambiata...
Ho dovuto accendere il muletto, copiare quì e la lettere per formare la password voluta, memorizzarla su un file di testo, copiarlo sul pennino, aprire GMail dal mio computer principale e modificare la password copiandola dal file precedentemente creato... E finalmente non invio più spam a me stesso (che andavano nella cartella SPAM quindi chissà per quanto tempo è durato...)!
Ora ho preso l'abitudine di copiarla dal file di testo oltre a non essere più semplicemente formata da caratteri alfabetici...

Ma forse ho capito... i polli non sono quelli con account che iniziano con A o con B... ma siamo noi nati nel 1980! (Ironico)
:)

a me è bastato cambiarla dall'account,inviavano spam a tutta la rubrica accedendo proprio via browser! :eek:

E la password era una combinazione casuale di lettere e numero mica pippo o cose del genere,un po la cosa mi turba,se stiamo a questi livelli di sicurezza,spero che siti tipo paypal siano messi un po meglio...

C'è il link qualche post sopra..

Sicuramente Phishing, è tantissima la gente che casca a "Vedi chi ti ha bloccato su messegner" "Messenger diventa a pagamento" "Vieni nel nostro social network con i tuoi dati live".
Eh purtroppo la "niubbagine" esiste e ci passano tutti... poi c'è chi è piu furbo di un altro quello si :stordita:

solo quelli con a e b?Singolare,dovremmo chiedere lumi a qualche statistico...

Per chi sà dove cercare non è difficile trovare delle "liste"... Questo caso fa notizia perchè si tratta di hotmail (leggi Microsoft), ma nel mondo vengono rilasciate liste del genere abbastanza spesso. Le regole cardine in questo caso sono strong password (possibilmente unica) ed evitare di utilizzare i famosi servizi "scopri chi ti ha bloccato in msn" o roba simile. :doh:

solo quelli con a e b?Singolare,dovremmo chiedere lumi a qualche statistico...

Già, abbastanza singolare :D Credo non abbiano postato tutta la lista. Ma sicuramente non è opera di "Espertissimi hacker che han violato i server live" ma piu "Cheater ruba password degli account hotmail col phishing" lol :D

Qui ci vuole solo SALVATORE ARANZULLA

hahahahahhahahahahahaha grande!!! non smetterò mai di ridere dopo questa.......

quanti di quegli accuont calzeranno perfettamente con un account faccialibro????????

il fatto che ci sia uno "@hotamail.com" con sotto uno identico ma "@hotmail.com", mi fa pensare sempre di più che derivi da uno di quei siti tipo "vedi chi ti ha bloccato in messenger".. (vedi anche "@hotmai.fr" e "@hotmail.fr"), o cmq phishing..non certo un attacco agli archivi microsoft..

Vabbè ma a leggere il titolo della news mi stavo per spaventare, poi leggo e "phishing" :fagiano:

Ah beh se c'è gente vogliosa di dare i suoi dati all'internet intero, che non si lamenti poi...:doh:

ma si è sempre saputo che hotmail fà pietà come sicurezza, cmq dubito che sia phishing, troppo casuale per essere in ordine alfabetico (A, B) + tosto penso un'attacco diretto non denunciato chiaramente da mamma microsoft.

ma si è sempre saputo che hotmail fà pietà come sicurezza, cmq dubito che sia phishing, troppo casuale per essere in ordine alfabetico (A, B) + tosto penso un'attacco diretto non denunciato chiaramente da mamma microsoft.

Ma davvero ? hotmail è piu sicuro di quanto pensi :P Cioè, prima l'unico problema era che, per richiedere il token di accesso, inviava la password in chiaro... cosa che hanno risolto ormai da anni con l'introduzione di MSNP10 e le SOAP XML... in ssh :O
Si vede lontano un miglio che è una lista derivata dal phishing, fidati :)

il fatto che abbiano pubblicato quelli inizianti per A e B vuol semplicemente dire che hanno fatto un sort e ne hanno pubblicati una parte, non che hanno solo quelli. Allo stesso modo c'è già chi qui ha scritto che ha un account che inizia per A e non si è trovato nella lista quindi SpyroTSK mi sa proprio che si tratta di phishing.
Anche perché ignoro come siano salvate le credenziali di accesso ai servizi live ma dubito si tratti di un file di testo, suppongo piuttosto un AD piuttosto che un ADAM e lì per recuperare le password dovrestri fregarti tutto il DB e poi andare di decrittazione (e sempre fatta salva la supposizione su AD immagino si tratterebbe di una lunga serie di NT hash da crackare).
Io resto dell'idea che il phishing sia la strada più probabile, senza contare che anche tutti i programmini di add on per messenger (quali ad esempio messenger plus) integrandosi con il messenger stesso potrebbero catturare e poi spedire la password ovunque.

Nella lista del link c'è anche un account @gmail.com il che avvalora la tesi di phishing. Dubito che la microsoft nei propri database avesse anche le credenziali di un account creato con gmail

concordo con PhirePhil, e cmq ripeto, essendoci anche in mezzo alla lista degli account sbagliati, non possono essere dati appartenenti ad archivi Microsoft, ma per forza derivanti da phishing.

In ogni caso, per Microsoft, appena la gente comune verra' informata del misfatto, sara' un'altra batosta non indifferente. Diranno di non usare piu' messenger, di non usare piu' hotmail e di conseguenza di stare alla larga dai loro prodotti. Non gliene va dritta una ultimamente, che sia un caso ?!!!

Nella lista del link c'è anche un account @gmail.com il che avvalora la tesi di phishing. Dubito che la microsoft nei propri database avesse anche le credenziali di un account creato con gmail

Questo non è vero, è possibile accedere ai servizi Live di Microsoft con qualunque indirizzo. Io ho 3 @gmail.com e @katamail.it registrati come Windows Live ID con i quali accedo a WLM

Vabè non ho paura di essere pedofilato benchè il mio indirizzo mail inizi con la a

pare che hotmail non sia l'unica

http://www.repubblica.it/2009/08/sezioni/tecnologia/google-world-1/gmail-hackers/gmail-hackers.html?ref=hpspr1

nel 2009 jabber, gmail e linux possono salvarti da aziende come microsoft.....


http://www.corriere.it/notizie-ultima-ora/Cronache/Internet-anche-Google-ammette-furto-mail/06-10-2009/1-A_000051963.shtml
Internet: anche Google ammette furto di E-mail
06 Ottobre 2009 17:01 CRONACHE

MILANO - Dopo Microsoft anche Google ammette che il proprio servizio di posta telematica e' stato oggetto di un furto di password. In un primo momento si era pensato che l'attacco coinvolgesse soltanto 10 mila utenti di Hotmail, le cui password erano state pubblicate su pastebin.com, un sito usato dagli sviluppatori per condividere codici. Il colosso dei motori di ricerca, pero', ha detto a Bbc News che anche il suo servizio di posta elettronica Gmail e' stato coinvolto in un ampio schema di phishing, cioe' un attacco con cui si invitano via e-mail gli utenti a collegarsi a un falso sito web creato per rubare dati personali. Al momento non risultano coinvolti utenti italiani. (RCD)


http://www.repubblica.it/2009/08/sezioni/tecnologia/google-world-1/gmail-hackers/gmail-hackers.html?ref=hpspr1
SICUREZZA ONLINE
Gmail colpita dagli hackers
Rubate trentamila password
Attacco anche a Hotmail, Yahoo e Aol. Un portavoce di Google: "Cambiate le chiavi di accesso"

ROMA - Massiccio attacco agli indirizzi di posta elettronica di Gmail, la e-mail di Google, per rubare password e nomi utenti di decine di migliaia di utenti: è l'ultimo allarme per la sicurezza online, ammesso oggi alla Bbc dal grande motore di ricerca di Mountain View, California.

"Ci siamo accorti di recente di uno schema di phishing con il quale gli hackers ottenevano credenziali di accesso per indirizzi e-mail e abbonamenti, inclusi quelli di Gmail", ha detto un portavoce di Google alla tv britannica. "Raccomanderei di cambiare la password su ogni sito sul quale fosse usata", ha suggerito un consulente di sicurezza, Graham Cluley. E' dimostrato infatti, che circa il 40 per cento delle persone usano la stessa password su tutti gli account elettronici (mail, banca, aerei, treni, ecc.)

Gli account attaccati sono 30.000, di cui diecimila di hotmail. Nelle liste in possesso della società, figurano anche indirizzi di Yahoo, Aol, Comcast ed Earthlink, ma sono in gran parte vecchi: quelli tuttora attivi riguarderebbero soprattutto Hotmail e Gmail.

:rotfl:

@ SSB:
Scusa ma ho letto bene che tra le regole cardine per una password sicura ci sono:
-Strong password (immagino intenda insieme di caratteri alfanumerici+ caratteri speciali) e
- PASSWORD UNICA?
Che intendi? Non posso credere che tra le regole ci sia scritto che bisogna avere UNA password...

Solo una cosa mi chiedo... perchè continuano a chiamarli hacker quando alla fine altro non sono che cheateroni e lameroni :rolleyes: ... va beh l'ignoranza.
Quello che però fa irritare è, che alla fine, la colpa ricade tutta sull'azienda... quando invece è colpa dell'utonto che clicca il link e tutto felice gli fornisce le password. Cosi l'azienda comincia a perdere credibilità per colpa di coloro che, appena vedono una mail "non" stranamente invitante come "Poste.it ti fa un rimborso di 500 euro perchè il direttore t'ha visto per strada e gli sei piaciuto", fan click&go e olè. Come se fossero cose che capitano tutti i giorni e che sono assolutamente credibili :D.
Non è che ci vuole tutta questa conoscenza informatica per svelare un phishing... basterebbe un po di buon senso e di intelligenza da parte dell'utente che apre queste email.

@ SSB:
Scusa ma ho letto bene che tra le regole cardine per una password sicura ci sono:
-Strong password (immagino intenda insieme di caratteri alfanumerici+ caratteri speciali) e
- PASSWORD UNICA?
Che intendi? Non posso credere che tra le regole ci sia scritto che bisogna avere UNA password...

Intende password unica per quell'account, cioè non condivisa con altri sistemi.
Ogni utente una password diversa

A stare a sentire i vari "giornali italiani" sembra che gli haccer abbiano crackato i server hotmail, gmail, yahoo, Ori, Sith, Predator, Borg etc etc... e abbiano preso tutti i dati

Quando è bastata qualche mail e poco altro e tutti gli utOnti hanno volontariamente, e con un impegno che basterebbe per imparare SIA il concetto di "copia" che di "incolla", dato i dati :O

Intende password unica per quell'account, cioè non condivisa con altri sistemi.
Ogni utente una password diversa

Esatto, mi riferivo all'unicità nell'utilizzo. MAI usare la stessa password per tutto! Ci sono stati casi di persone che si sono fatte fregare (col phishing) la pwd di facebook e che poi si sono viste recapitare a casa una ventina di frullatori multiuso poichè avevano utilizzato la stessa pwd anche su gmail (dove si può associare una carta di credito). <-- ho visto le ricevute di amazon.com con i miei occhi. :rolleyes:

Esatto, mi riferivo all'unicità nell'utilizzo. MAI usare la stessa password per tutto! Ci sono stati casi di persone che si sono fatte fregare (col phishing) la pwd di facebook e che poi si sono viste recapitare a casa una ventina di frullatori multiuso poichè avevano utilizzato la stessa pwd anche su gmail (dove si può associare una carta di credito). <-- ho visto le ricevute di amazon.com con i miei occhi. :rolleyes:

mi spieghi questa funzione? Con Gmail posso associare una Carta di Credito?
Ho cercato nel mio gmail ma non ho trovato nulla...E poi? Grazie

scusate ma la pwd di gmail come fa ad essere trafugata? la estraggono dai loro archivi direttamente o qualcuno di incauto la inserisce dove non dovrebbe?

io l'ho appena cambiata perchè per anni sbagliando ho usato pwd condivise e allora quelle 2 o 3 + importanti ho deciso di cambiarle con parole differenziate e difficili

mi fate un esempio di mail che ti richiede la pwd? a me capitano solo quelle della cc o dell'account ebay

Fatemi capire, si tratta di Pishing, giusto?
Quindi se io non sono mai cascato nelle varie "trappole" (chiamamole così) dove mi si dice che ho vinto soldi con le poste italiane (o poste italiene :P) dovrei essere tranquillo?
Mi conviene cambiare comunque password? Tutte? Gmail, yahoo e msn?

Fatemi capire, si tratta di Pishing, giusto?
Quindi se io non sono mai cascato nelle varie "trappole" (chiamamole così) dove mi si dice che ho vinto soldi con le poste italiane (o poste italiene :P) dovrei essere tranquillo?
Mi conviene cambiare comunque password? Tutte? Gmail, yahoo e msn?
Solo di phishing :coffee:

Mica sono riusciti a crackare tutti i sistemi :sofico:

mi fate un esempio di mail che ti richiede la pwd? a me capitano solo quelle della cc o dell'account ebay

spero che tu non l'abbia data :D
ebay,paypal, le poste e le banche non richiedono MAI le psw via email.
Cmq devo dire che gmail e alice hanno un buon filtro spam

Qualcuno mi può dare il link dove trovare la lista degli indirizzi??

E poi se dovessi essere sulla lista sarebbe sufficiente cambiare pw, giusto?

Verifico però che nella lista non appaiono nomi italiani, probabilmente il fenomeno si era diffuso negli stati uniti.. e non da noi...

Dovrei farmi un nuovo indirizzo e-mail, come sicurezza voi cosa mi consigliate ?

ragazzi io non ricordo più neanche il nome utente dei 2 o 3 account che avevo, come posso risolvere, sono proprio account che iniziano con la lettera A e che non uso da circa 4 anni.

ragazzi io non ricordo più neanche il nome utente dei 2 o 3 account che avevo, come posso risolvere, sono proprio account che iniziano con la lettera A e che non uso da circa 4 anni.

se è da 4 anni non li usi non vedo dove sta il problema.
Meglio che ti leggi cos'è il Phishing (va bene anche wikipedia)

quindi il problema è solo per quelli che si sono registrati da poco? fammi capire!

Ma alla fine esiste il modo per verificare il proprio indirizzo mail o no??

Dovrei farmi un nuovo indirizzo e-mail, come sicurezza voi cosa mi consigliate ?

gmail. ho 3 indirizzi e controllo tutto da li. versatile e semplice. gratis e con uno spazio praticamente infinito.

x angeloss: il problema è per chi USA gli account e inavvertitamente inserisce password e altri dati sensibili dove non dovrebbe. se la casella è INUTILIZZATA non ci sono problemi

rob46 la pwd è da cambiare se la si trova troppo semplice. il problema è che se un malintenzionato entra nel tuo account puo' da subito cambiare pwd lui stesso chiudendoti fuori. quindi la scelta della stessa è importante ma se poi la si digita in siti sospetti si torna daccapo

quindi il problema è solo per quelli che si sono registrati da poco? fammi capire!

ma hai letto cos'è il Phishing???
colpisce solo gli "utonti"; che siano registrati da poco o molto tempo non fa differenza

rob46 la pwd è da cambiare se la si trova troppo semplice. il problema è che se un malintenzionato entra nel tuo account puo' da subito cambiare pwd lui stesso chiudendoti fuori. quindi la scelta della stessa è importante ma se poi la si digita in siti sospetti si torna daccapo

ok grazie.. io non l'ho mai messa da nessuna parte.. ma se in realtà non si trattasse di phishing? Cioè se fosse un vero attacco? Per quello che volevo cercare questa famigerata lista di nomi per controllare se ci sono anche io.. :cry: :help:

quoto rob46

Il link alla lista è nella prima pagina di commenti...
Comunque io pur avendo ignorato tutte le e-mail "particolari" mi sono ritrovato con l'account craccato e mandavo spam a raffica... Ora ho risolto cambiando password e copiandola sempre da un file di testo!
Non posso essere sicuro che prima fosse una PWD unica (anzi sono quasi sicuro che non lo fosse) ma la coppia username password invece doveva essere unica...forse sul PC ho uno di quei prog che inviano i tasti premuti (i key logger giusto?) altrimenti non mi spiego come abbiano fatto...

loro non hanno le pwd ma solo gli hash quindi è difficilissimo vengano direttamente scoperte. se hai un pc zombie la sola digitazione puo' essere intercettata ma è raro anche questo, la prima causa è la digitazione in siti o "campi" sospetti. se non ce ne si accorge non vuol dire che non sia successo eh...

grazie li ho visti
però sono solo quelli che iniziano con A con la successiva lettera R quindi solo AR, o hanno postato solo quelli?

Comunque io pur avendo ignorato tutte le e-mail "particolari" mi sono ritrovato con l'account craccato e mandavo spam a raffica... Ora ho risolto cambiando password e copiandola sempre da un file di testo!


Se non hai cliccato alcun link, il comportamento da te descritto può essere causato soltanto da un virus e non dovrebbe avere nulla a che vedere con il phishing di cui parla la notizia. Se è vero che le pw sono state rubate col phoshing la tua non dovrebbe figurare in quell'elenco.

E' phishing al 100%, fidatevi ;). Se un hacker fosse riuscito ad intrufularsi, la cosa piu difficile sarebbe stato trovare le password cosi in chiaro e non in hash ( criptate ). Inoltre non credo che riuscendo ad entrare nei server live, avrebbero solo trafugato gli account =P.
Come ripetuto gia innumerevoli volte in questo topic, nella lista postata ci sono molte email "sbagliate" con tipo "homtail.com" al posto di "hotmail.com". Da questo si ha la certezza che sia phishing... perchè di sicuro nei database microsoft non ci sono email sbagliate :D
ok grazie.. io non l'ho mai messa da nessuna parte.. ma se in realtà non si trattasse di phishing? Cioè se fosse un vero attacco? Per quello che volevo cercare questa famigerata lista di nomi per controllare se ci sono anche io.. :cry: :help:

quoto rob46