home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / Hotmail-vulnerability.txt < prev    next >
Encoding:
Internet Message Format  |  1999-04-11  |  2.0 KB
  1. From: Jon Robson <los_alamos@hotmail.com>
  2. To: km@hackersclub.com <km@hackersclub.com>
  3. Subject: Hotmail vulnerability?
  4. Date: Wednesday, April 07, 1999 10:53 PM
  5.  
  6. Hello there,
  7.  
  8. I am what most people would consider a newbie.  However, I discovered 
  9. a little something about Hotmail just now, thought you might be 
  10. interested.  To get this to work, you must a) have somebody's hotmail 
  11. account name and password; b) the person must have set up hotmail's 
  12. POP mail options to recieve POP mail in Hotmail.  By downloading the 
  13. link that says "POP Mail" just next to the "Check for New Hotmail" 
  14. link in the inbox, it is possible to view the person's ISP login name, 
  15. and cleartext ISP password.  Here is what I downloaded tonight (I will 
  16. comment important stuff in brackets (), although you will probably 
  17. already know anyways):
  18.  
  19. 1st POP Account: </b></td></tr>
  20. <tr><td align="right">POP Server Name:</td>
  21. <td align="left"><input type="text" name="sname0" 
  22. value="232.182.98.45" (ISP IP address or domain name) size=30 
  23. maxlength=36></td></tr>
  24. <tr><td align="right">POP User Name:</td>
  25. <td align="left"><input type="text" name="uname0" 
  26. value="los_alamos"(login name, I changed it of course) size=30 
  27. maxlength=36></td></tr>
  28. <tr><td align="right">POP User Password:</td>
  29. <td align="left"><input type="password" name="upasswd0" value="luther" 
  30. (unencrypted password, changed again, of course) size=30 
  31. maxlength=36></td></tr>
  32.  
  33. Although this is not a HUGE vulnerablility (you need an account, and 
  34. the account must have POP mail set up), this seems like a fairly easy 
  35. way to get the login name and password for an ISP...from there, it 
  36. shouldn't be too hard to find the dial up number, using social 
  37. engineering or something.  If you already knew about this, I'm sorry 
  38. for bothering you with it.  Oh yea, is there any way to get 
  39. Java/Javascript into Hotmail messages?  They filter the headers and 
  40. such now, at least from what I've tried.  
  41.  
  42. Thank you for your time,
  43.  
  44. Jon Robson  
  45.  
  46. ______________________________________________________
  47. Get Your Private, Free Email at http://www.hotmail.com