Przejdź na

Microsoft źle zabezpieczał usługę .NET Passport

Wczoraj wieczorem została ujawniona poważna luka wzabezpieczeniach systemu centralnego logowania Microsoft .NETPassport. Atakujący mógł zmienić hasło do dowolnego konta, znającjedynie e-mail służący do zalogowania do usługi. Wykorzystanie błędu sprowadzało się do skonstruowania odpowiedniegoadresu URL, zawierającego e-mail ofiary i e-mail atakującego, naktóry ma być przesłany link do strony pozwalającej zmienić hasło.Po takiej operacji atakujący zyskiwał dostęp do wszelkich danychosobowych i poufnych informacji, które ofiara powierzyłaMicrosoftowi, włączając w to numery kart kredytowych używanych doprzeprowadzania elektronicznych transakcji. Wiadomość ta przedostała się do wiadomości publicznej, na coMicrosoft zareagował natychmiast blokując możliwość zmiany hasła.Serwis c|net wskazuje na dwie przyczyny kompromitujacego dla firmywydarzenia. Pierwszą był oczywiście błąd projektu aplikacjisieciowej usługi Microsoft .NET Passport; jednak pośrednio wpłynęłateż na to skomplikowana i nieskuteczna metoda komunikacja z firmą.Osoba, która wiedziała o błędzie i wielokrotnie informowała o nimna adres abuse prowadzonego przez Microsoft serwisu hotmail.com,została zignorowana. Dopiero wysłanie raportu na adressecurity@microsoft.com mogło przynieść odpowiedni skutek. W zeszłym roku, kiedy ujawniły się inne słabości zabezpieczeńusługi Passport, Microsoft zobowiązał się wobec Federalnej KomisjiHandlu nie tylko do usunięcia tych wad, lecz także do dbania conajmniej przez kolejne 20 lat o "rozsądne środki bezpieczeństwa",chroniące dane klientów. Za każde naruszenie bezpieczeństwa danych,zawinione przez firmę, Microsoftowi grozi grzywna wysokości do 11tysięcy USD. Gdyby Federalna Komisja Handlu uznała, że obecniezagrożone zostało bezpieczeństwo danych wszystkich 200 milionówosób, korzystających z usługi Microsoft Passport, Microsoftowimogłaby więc grozić grzywna wysokości 2,2 biliona dolarów! Bilionto jedynka z dwunastoma zerami, czyli tysiąc miliardów. Oficjalny komunikat Microsoft (w języku angielskim) można znaleźćna tejstronie. Źródło: Microsoft, Jama Mastaha, PAP

Leszek Kędzior
Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥