Исследователи по имени Мохит Кумар (Mohit Kumar) и Кристи Филип Мэтью (Christy Philip Mathew) обнаружили, что уязвимость в обработке файлов куки популярных почтовых сервисов Microsoft Hotmail и Outlook позволяет красть аккаунты пользователей этих популярных почтовых сервисов.

Как и другие сайты, Microsoft использует куки для хранения информации о сессии залогиненного пользователя. После того, как пользователь разлогинивается, эти куки становятся недействительными и уже не могут использоваться для продолжения сессии.

Однако, как отмечают обнаружившие эту уязвимость авторы, на сервисах Hotmail и Outlook даже после разлогинивания те же самые куки могут быть использованы для продолжения сессии без ввода логина и пароля.

Конечно, для использования этой уязвимости небходимо похитить куки-файл. Различные способы того, как этого может быть сделано, авторы приводят в своем посте, где также выложено видео с демонстрацией использования этой уязвимости.