用「ㄝ」破解所有Hotmail 帳號-- 1999 年的駭客攻擊事件

在電子郵件剛開始普及的年代，Hotmail 曾一度席捲網路市場，備受許多使用者的愛用。

雖然已經不再是主流信箱，但相信Hotmail 及MSN 都承載著許多人的 ... 用「ㄝ」破解所有Hotmail帳號--1999年的駭客攻擊事件 Oct8,2021 分享 在電子郵件剛開始普及的年代，Hotmail曾一度席捲網路市場，備受許多使用者的愛用。

當時的Hotmail及Yahoo!為最早開始支援廣告的電子郵件服務，讓使用者得以免費註冊帳號，也因此成了當時最大宗的兩個電子郵件服務。

根據CNBC的報導，在1999年Google剛起步時，Yahoo!早已有1,200萬名使用者，而Hotmail則在當年夏天成長至5,000萬名使用者。

雖然已經不再是主流信箱，但相信Hotmail及MSN都承載著許多人的回憶，成了令人懷念的時代的眼淚。

但您知道Hotmail曾在1999年遭到大規模的駭客攻擊嗎？當時只要在網頁上隨便輸入一個Hotmail帳號以及密碼 eh（ㄝ） 就能夠存取任何一個Hotmail帳號，根據報導該起攻擊事件波及了當時Hotmail在全球的5,000萬個帳號。

這次就讓我們來談談1999年驚動的科技業的攻擊事件。

Hotmail與微軟 在聊攻擊事件前，先讓我們來看看Hotmail的起源吧！Hotmail最早是於1996年由傑克史密斯（JackSmith）和印度企業家沙比爾巴蒂亞（SabeerBhatia）所創立的。

當時的服務是以「HoTMaiL」的名稱問世，用來呼應建立網頁的語言HTML。

隨後於1997年12月被微軟的創辦人比爾蓋茲（BillGates）以4億5,000萬美金的高價買下，可以說是比爾蓋茲送給微軟的一份隆重的聖誕禮物，也正式引領了微軟踏入發展初期的網頁電子郵件世界。

很快的，HoTMaiL便被整併到MicrosoftNetwork（MSN）的網絡平台下，也更名為MSNHotmail，持續吸引全球更多的使用者使用免費的電子郵件服務，加速拓展了電子郵件的普及以及網路世界的榮景。

駭客的逆襲 然而樹大招風，很快的微軟便在1999年遭到了駭客的攻擊。

根據BBC以及Wired的報導，一個被稱為HackersUnite的駭客團體透過其代言人向瑞典的媒體揭發了Hotmail當時的資安漏洞，並且宣告他們已獲取所有Hotmail的存取權，呼籲大眾正視微軟的資安議題，而這個漏洞曝露了微軟當時所有的5,000萬個Hotmail帳號。

據報導，HackersUnite由八個人所組成（七名美國人及一名瑞典人）並且透過組織外一位位於瑞典的發言人LasseLjung對外發聲。

當時年僅18歲的LasseLjung向媒體BBC坦言： 擅自利用並且公開這樣的資安漏洞確實稱不上是一種負責任的行為，但是HackersUnite也正是想透過這樣的方式讓大家體認到當年資安糟糕的程度 同時，HackersUnite當中21歲的匿名瑞典成員也表示： 我們並非為了摧毀而執行此次的攻擊事件，我們是想讓全世界知道資訊安全的建設實際上有多脆弱，況且這家公司幾乎壟斷了所有電腦軟體 困惑的比爾蓋茲來源：TeluguOne 根據BBC的報導，當時只需要在網頁瀏覽器上輸入一串含有帳號名稱的特定URL，就能夠存取任何的Hotmail信箱進行收發信件的動作。

而這串URL的詳細資料及使用資訊首先被發上了瑞典的一個網頁，隨後即被迅速轉發至多個英國、美國等其他國家的網頁，掀起一陣騷動。

而微軟之所以會讓駭客們有機可趁，專家認為關鍵在於被遺漏在伺服器上的後門程式（backdoor），並且利用當時微軟非官方的登錄腳本程式（loginscript）「start」和密碼「eh」來完成的。

專家表示這或許是當初用來測試軟體的程式外流了，但由於無法查證，因此也保持保留的態度。

雖然不知道這個漏洞在網路上存在了多久，但微軟一接獲消息便立刻停止了所有Hotmail伺服器以停止資料的外洩，並大規模展開了修復作業，最終在兩小時左右後重新上線。

雖然微軟迅速地應對了此次的攻擊事件，但也坦言並不知道這個漏洞在他們接獲消息之前存在了多久。

而BBC表示根據其他的報社媒體，這個漏洞據說早在1998年六月就已悄悄在網路上流傳了。

Outlook的誕生 隨著科技的進步、電子郵件的逐漸普及以及人們對於網路服務的日趨依賴，科技巨擘們對於資安的把關也變得分外嚴謹。

而時過境遷，當年的MSNHotmail也在改名為MicrosoftLiveHotmail後，蛻變成了今天的Outlook，而其資安健全的程度更是今非昔比。

然而，就算有了嚴密的把關，身為科技巨擘的微軟遭受到的攻擊事件依舊還是層出不窮，包括今年三月針對ExchangeServer所展開的的零時差攻擊事件，以及緊跟在後的「DearCry」的勒索軟件攻擊事件，都在考驗著科技大廠的能耐，這樣的背景也促使了FIDO等資安聯盟的成立，而每經歷一次事件也使得軟體更加穩固。

但這類的攻擊事件也造成了許多使用者，特別是公司IT人員的不便，可以說是防不勝防。

也正因此，「上雲」成了許多公司的資安策略，同時也造就了許多第三方資訊安全供應商的成立，而HENNGE便是其中一個這樣的資安供應商。

現今社會仰賴軟體服務的程度已無法和1999年相提並論，在各大企業手中握有使用者大量個資的今天，駭客的攻擊動機更難保會如同1999年時年輕氣盛的小伙子們一樣單純。

正視資安議題，守護自己及他人的資訊安全是我們應當從這起荒誕的攻擊事件中記取的一課。

喜歡這篇文章嗎？歡迎分享出去！ 分享 WRITTENBY PhoebeLee 回到HENNGETaiwan部落格首頁 透過存取控制讓IT系統更有效地上線 Dec21,2021 所有的商業活動都是由一連串的業務流程所組成的。

隨著公司內部使用的軟體程式越來越多，IT人員所需要做的設定更多了。

雖說HENNGEAccessControl是資安的解決方案，但它同時也能提高IT部門的工作效率，在公司的IT管理及維護上助一臂之力。

ISO27001（ISMS）是什麼？ Dec10,2021 如今，世界上存在著許多惡意軟體和勒索病毒攻擊事件。

此外，也有許多未經授權的存取企圖竊取我們的身份資訊。

另外，由於人們現在能夠將行動裝置隨身攜帶至任何地方，如何確保這些行動裝置上的資訊安全也成了一大課題。

而ISO27001認證是在確保公司擁有一套安全穩固的資訊管理系統來保護公司內部重要的資訊財產。

SaaS如何適用於VUCA的時代 Dec3,2021 隨著近日人們的步調愈來愈緊促，我們也逐漸踏入VUCA的時代。

VUCA（Volatility、Uncertainty、Complexity、Ambiguity）分別代表波動性、不確定性、複雜性和模糊性。

SaaS是一種可以即時並簡單啟用的解決方案，甚至可以先從小規模開始採用。

也因為這樣的特性，SaaS服務是最適合這個VUCA時代的。

什麼是CASB？一起認識雲端資安代理 Nov15,2021 在愈來愈多企業選擇使用雲端系統的同時，「CASB」這個名詞除了也隨之更常出現在我們的生活當中外，它的重要性更是不容小覷。

到底什麼是CASB？就讓這篇文章帶您簡單快速的瞭解吧！ 如何「正確地」犯錯？ Nov5,2021 有一天我注意到--其實要「犯錯」是很難的。

因為要犯錯，人們就需要意識到什麼是「錯誤」。

如果一個人沒有認識到自己所犯的錯誤，對那個人而言就不是一個錯誤。

這就讓我產生了一個疑問，什麼是「錯誤」？錯誤就是一個我們不想要或無意造成的結果。

為了犯錯，應該提前建立期望或目標。

HENNGE，重視改變所帶來的力量 Oct22,2021 我們重視點燃變化的力量，我們認為不斷挑戰自己與時俱進的公司才能提供更好的產品及解決方案給消費者。

同時，我們也認為社會上若能充滿這些有創新思維的公司，定能使世界變成一個更美好的地方。

不斷地嘗試新解決方案找到其中遺漏的拼圖，並且努力挑戰開發出能夠填補漏洞的解決辦法。

我們稱這樣的行為作「品嚐未成熟的果實」。