Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/03/2011
Microsoft restaura cifrado en Hotmail para usuarios de Siria y otros países
Microsoft ha vuelto a activar la funcionalidad de cifrado SSl contínuo para sus usuarios de Hotmail en todo el mundo depués de que usuarios en países como Bahréin, Irán, Siria y Uzbekistán se habían visto incapaces de utilizar esta opción.
Microsoft ha dicho que "no apoyamos intencionadamente ninguna limitación por países u otro índole geográfico y este problema no estuvo limitado a ninguna región concreta" y pidieron disculpas por las molestias a través de una entrada en su Centro de Soluciones.
El pasado viernes, en un informe (enlace en inglés) en su blog "Deeplinks Blog", la Electronic Frontier Foundation (EFF) ha informado que Microsoft suspendió el cifrado SSL contínuo ("usar siempre HTTPS") para su servicio gratuito Hotmail en determinados países. Los usuarios de Hotmail que especificaron en su perfil países como Bahréin, Marruecos, Algeria, Siria, Sudán, Irán, Líbano, Jordania, Congo, Myanmar, Nigeria, Kazajistán, Uzbekistán, Turkmenistán, Tayikistán o Kirguistán sólo vieron el mensaje de error "Su cuenta de Windows Live no puede usar HTTPS automáticamente porque esta opción no está disponible para su tipo de cuenta", según la activista de la EFF, Eva Galperin. El problema fue advertido inicialmente por un estudiante de ingeniería informática durante los altercados en Siria. El estudiante adjuntó una imagen del mensaje anterior.
La EFF está especialmente preocupada por este asunto, ya que afecta países cuyos gobiernos tienen poca consideración con la libertad de expresión y hacen un llamamiento para que se restablezca rápidamente este servicio. Según Microsoft, los usuarios en Bahamas, las Islas Caimán i Fiyi también fueron afectados por el error. El error eliminó aparentemente la funcionalidad basándose en qué país dice el usuario que está, no basándose en la dirección IP desde la que procede. Los usuarios pudieron solucionar este problema cambiando la configuración de su país a otro que no estuviera bloqueado.
Microsoft no ha explicado qué causó el fallo. La empresa presentó la caracterísitca de "usar siempre HTTPS" en Noviembre de 2010; antes de esto, sólo el proceso de login estava cifrado con SSL. En redes WiFi inseguras, permitía a atacantes utilizar herramientas como Firesheep leer correos de los usuarios e incluso, acceso a las cuentas copiando las cookies del navegador.