Facebook-användare som loggar in med Hotmail och andra webbaserade e-posttjänster kan vara sårbara för kontokapningar, på grund av ett kryphål relaterat till utgångna adresser.
Microsoft inaktiverar oanvända Hotmail-konton efter 270 dagars inaktivitet, och tilldelar adresserna till alla nya användare som begär dem efter en viss tidsperiod.
Dessa e-postadresser kan sedan användas för att återställa lösenord och logga in på andra webbplatser – som Facebook – vilket potentiellt tillåter angripare att få kontroll över profiler.
Forskning från New Jersey-baserade Rutgers University, noterat av Microsofts policy för avaktivering av konto
Microsoft har tagit bort Hotmail och flyttat användare till nya Outlook.com. Men eftersom Outlook.com också är webbaserat och använder samma policy för inaktivering av konton, kan det fortfarande göra användare sårbara för attacker.
Gmail verkar vara mindre sårbart eftersom det inte tillåter nya användare att begära tidigare använda adresser.
”Problemet uppstår från det faktum att integriteten för en användares sociala nätverkskonto online vilar på integriteten för ens e-postkonto. När användaren väl tappar den ena kan de också förlora den andra, säger forskarna.
Facebook hävdade att sårbarheten var Microsofts ansvar och rådde användare att se till att deras adresser var aktiva och uppdaterade. Företaget påpekade att det finns andra kontoåterställningsalternativ tillgängliga om användare är oroliga för att återställa lösenord via e-post, till exempel SMS eller utse betrodda vänner.
”Detta är inte ett säkerhetsproblem på Facebook – det här är en sårbarhet som bara gäller ett litet antal personer som inte har uppdaterat sin Hotmail-e-postadress kopplad till deras Facebook-konto”, sa talespersonen. ”Ingenting är viktigare för oss än säkerheten och säkerheten för människor på Facebook. Vi uppmuntrar människor att se till att e-postadressen som är kopplad till deras Facebook-konto är uppdaterad och säker. Vi bygger och släpper ständigt nya säkerhetsfunktioner – från inloggningsmeddelanden till engångslösenord, och vi uppmuntrar användningen av dem.”
Microsoft har inte svarat på en begäran om kommentar.