r   e   k   l   a   m   a
r   e   k   l   a   m   a

Microsoft źle zabezpieczał usługę .NET Passport

Strona główna Aktualności

Wczoraj wieczorem została ujawniona poważna luka w zabezpieczeniach systemu centralnego logowania Microsoft .NET Passport. Atakujący mógł zmienić hasło do dowolnego konta, znając jedynie e-mail służący do zalogowania do usługi.

Wykorzystanie błędu sprowadzało się do skonstruowania odpowiedniego adresu URL, zawierającego e-mail ofiary i e-mail atakującego, na który ma być przesłany link do strony pozwalającej zmienić hasło. Po takiej operacji atakujący zyskiwał dostęp do wszelkich danych osobowych i poufnych informacji, które ofiara powierzyła Microsoftowi, włączając w to numery kart kredytowych używanych do przeprowadzania elektronicznych transakcji.

Wiadomość ta przedostała się do wiadomości publicznej, na co Microsoft zareagował natychmiast blokując możliwość zmiany hasła. Serwis c|net wskazuje na dwie przyczyny kompromitujacego dla firmy wydarzenia. Pierwszą był oczywiście błąd projektu aplikacji sieciowej usługi Microsoft .NET Passport; jednak pośrednio wpłynęła też na to skomplikowana i nieskuteczna metoda komunikacja z firmą. Osoba, która wiedziała o błędzie i wielokrotnie informowała o nim na adres abuse prowadzonego przez Microsoft serwisu hotmail.com, została zignorowana. Dopiero wysłanie raportu na adres security@microsoft.com mogło przynieść odpowiedni skutek.

W zeszłym roku, kiedy ujawniły się inne słabości zabezpieczeń usługi Passport, Microsoft zobowiązał się wobec Federalnej Komisji Handlu nie tylko do usunięcia tych wad, lecz także do dbania co najmniej przez kolejne 20 lat o "rozsądne środki bezpieczeństwa", chroniące dane klientów. Za każde naruszenie bezpieczeństwa danych, zawinione przez firmę, Microsoftowi grozi grzywna wysokości do 11 tysięcy USD. Gdyby Federalna Komisja Handlu uznała, że obecnie zagrożone zostało bezpieczeństwo danych wszystkich 200 milionów osób, korzystających z usługi Microsoft Passport, Microsoftowi mogłaby więc grozić grzywna wysokości 2,2 biliona dolarów! Bilion to jedynka z dwunastoma zerami, czyli tysiąc miliardów.

Oficjalny komunikat Microsoft (w języku angielskim) można znaleźć na tej stronie.

Źródło: Microsoft, Jama Mastaha, PAP

r   e   k   l   a   m   a
© dobreprogramy

Komentarze

Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.