用「ㄝ」破解所有 Hotmail 帳號 -- 1999 年的駭客攻擊事件

在電子郵件剛開始普及的年代，Hotmail 曾一度席捲網路市場，備受許多使用者的愛用。當時的 Hotmail 及 Yahoo! 為最早開始支援廣告的電子郵件服務，讓使用者得以免費註冊帳號，也因此成了當時最大宗的兩個電子郵件服務。根據 CNBC 的報導，在 1999 年 Google 剛起步時，Yahoo! 早已有 1,200 萬名使用者，而 Hotmail 則在當年夏天成長至 5,000 萬名使用者。雖然已經不再是主流信箱，但相信 Hotmail 及 MSN 都承載著許多人的回憶，成了令人懷念的時代的眼淚。但您知道 Hotmail 曾在 1999 年遭到大規模的駭客攻擊嗎？當時只要在網頁上隨便輸入一個 Hotmail 帳號以及密碼

eh（ㄝ）

就能夠存取任何一個 Hotmail 帳號，根據報導該起攻擊事件波及了當時 Hotmail 在全球的 5,000 萬個帳號。這次就讓我們來談談 1999 年驚動的科技業的攻擊事件。

Hotmail 與微軟

在聊攻擊事件前，先讓我們來看看 Hotmail 的起源吧！Hotmail 最早是於 1996 年由傑克史密斯（Jack Smith）和印度企業家沙比爾巴蒂亞（Sabeer Bhatia）所創立的。當時的服務是以「HoTMaiL」的名稱問世，用來呼應建立網頁的語言 HTML。隨後於 1997 年 12 月被微軟的創辦人比爾蓋茲（Bill Gates）以 4 億 5,000 萬美金的高價買下，可以說是比爾蓋茲送給微軟的一份隆重的聖誕禮物，也正式引領了微軟踏入發展初期的網頁電子郵件世界。很快的，HoTMaiL 便被整併到 Microsoft Network（MSN）的網絡平台下，也更名為 MSN Hotmail，持續吸引全球更多的使用者使用免費的電子郵件服務，加速拓展了電子郵件的普及以及網路世界的榮景。

駭客的逆襲

然而樹大招風，很快的微軟便在 1999 年遭到了駭客的攻擊。根據 BBC 以及 Wired 的報導，一個被稱為 Hackers Unite 的駭客團體透過其代言人向瑞典的媒體揭發了 Hotmail 當時的資安漏洞，並且宣告他們已獲取所有 Hotmail 的存取權，呼籲大眾正視微軟的資安議題，而這個漏洞曝露了微軟當時所有的 5,000 萬個 Hotmail 帳號。

據報導，Hackers Unite 由八個人所組成（七名美國人及一名瑞典人）並且透過組織外一位位於瑞典的發言人 Lasse Ljung 對外發聲。當時年僅 18 歲的 Lasse Ljung 向媒體 BBC 坦言：

擅自利用並且公開這樣的資安漏洞確實稱不上是一種負責任的行為，但是 Hackers Unite 也正是想透過這樣的方式讓大家體認到當年資安糟糕的程度

同時，Hackers Unite 當中 21 歲的匿名瑞典成員也表示：

我們並非為了摧毀而執行此次的攻擊事件，我們是想讓全世界知道資訊安全的建設實際上有多脆弱，況且這家公司幾乎壟斷了所有電腦軟體

根據 BBC 的報導，當時只需要在網頁瀏覽器上輸入一串含有帳號名稱的特定 URL，就能夠存取任何的 Hotmail 信箱進行收發信件的動作。而這串 URL 的詳細資料及使用資訊首先被發上了瑞典的一個網頁，隨後即被迅速轉發至多個英國、美國等其他國家的網頁，掀起一陣騷動。而微軟之所以會讓駭客們有機可趁，專家認為關鍵在於被遺漏在伺服器上的後門程式（backdoor），並且利用當時微軟非官方的登錄腳本程式（login script）「start」和密碼「eh」來完成的。專家表示這或許是當初用來測試軟體的程式外流了，但由於無法查證，因此也保持保留的態度。

雖然不知道這個漏洞在網路上存在了多久，但微軟一接獲消息便立刻停止了所有 Hotmail 伺服器以停止資料的外洩，並大規模展開了修復作業，最終在兩小時左右後重新上線。雖然微軟迅速地應對了此次的攻擊事件，但也坦言並不知道這個漏洞在他們接獲消息之前存在了多久。而 BBC 表示根據其他的報社媒體，這個漏洞據說早在 1998 年六月就已悄悄在網路上流傳了。

Outlook 的誕生

隨著科技的進步、電子郵件的逐漸普及以及人們對於網路服務的日趨依賴，科技巨擘們對於資安的把關也變得分外嚴謹。而時過境遷，當年的 MSN Hotmail 也在改名為 Microsoft Live Hotmail 後，蛻變成了今天的 Outlook，而其資安健全的程度更是今非昔比。然而，就算有了嚴密的把關，身為科技巨擘的微軟遭受到的攻擊事件依舊還是層出不窮，包括今年三月針對 Exchange Server 所展開的的零時差攻擊事件，以及緊跟在後的「DearCry」的勒索軟件攻擊事件，都在考驗著科技大廠的能耐，這樣的背景也促使了 FIDO 等資安聯盟的成立，而每經歷一次事件也使得軟體更加穩固。但這類的攻擊事件也造成了許多使用者，特別是公司 IT 人員的不便，可以說是防不勝防。也正因此，「上雲」成了許多公司的資安策略，同時也造就了許多第三方資訊安全供應商的成立，而 HENNGE 便是其中一個這樣的資安供應商。現今社會仰賴軟體服務的程度已無法和 1999 年相提並論，在各大企業手中握有使用者大量個資的今天，駭客的攻擊動機更難保會如同 1999 年時年輕氣盛的小伙子們一樣單純。正視資安議題，守護自己及他人的資訊安全是我們應當從這起荒誕的攻擊事件中記取的一課。