Microsoft źle zabezpieczał usługę .NET Passport

Strona głównaMicrosoft źle zabezpieczał usługę .NET Passport
09.05.2003 11:48

Wczoraj wieczorem została ujawniona poważna luka wzabezpieczeniach systemu centralnego logowania Microsoft .NETPassport. Atakujący mógł zmienić hasło do dowolnego konta, znającjedynie e-mail służący do zalogowania do usługi. Wykorzystanie błędu sprowadzało się do skonstruowania odpowiedniegoadresu URL, zawierającego e-mail ofiary i e-mail atakującego, naktóry ma być przesłany link do strony pozwalającej zmienić hasło.Po takiej operacji atakujący zyskiwał dostęp do wszelkich danychosobowych i poufnych informacji, które ofiara powierzyłaMicrosoftowi, włączając w to numery kart kredytowych używanych doprzeprowadzania elektronicznych transakcji. Wiadomość ta przedostała się do wiadomości publicznej, na coMicrosoft zareagował natychmiast blokując możliwość zmiany hasła.Serwis c|net wskazuje na dwie przyczyny kompromitujacego dla firmywydarzenia. Pierwszą był oczywiście błąd projektu aplikacjisieciowej usługi Microsoft .NET Passport; jednak pośrednio wpłynęłateż na to skomplikowana i nieskuteczna metoda komunikacja z firmą.Osoba, która wiedziała o błędzie i wielokrotnie informowała o nimna adres abuse prowadzonego przez Microsoft serwisu hotmail.com,została zignorowana. Dopiero wysłanie raportu na adressecurity@microsoft.com mogło przynieść odpowiedni skutek. W zeszłym roku, kiedy ujawniły się inne słabości zabezpieczeńusługi Passport, Microsoft zobowiązał się wobec Federalnej KomisjiHandlu nie tylko do usunięcia tych wad, lecz także do dbania conajmniej przez kolejne 20 lat o "rozsądne środki bezpieczeństwa",chroniące dane klientów. Za każde naruszenie bezpieczeństwa danych,zawinione przez firmę, Microsoftowi grozi grzywna wysokości do 11tysięcy USD. Gdyby Federalna Komisja Handlu uznała, że obecniezagrożone zostało bezpieczeństwo danych wszystkich 200 milionówosób, korzystających z usługi Microsoft Passport, Microsoftowimogłaby więc grozić grzywna wysokości 2,2 biliona dolarów! Bilionto jedynka z dwunastoma zerami, czyli tysiąc miliardów. Oficjalny komunikat Microsoft (w języku angielskim) można znaleźćna tejstronie. Źródło: Microsoft, Jama Mastaha, PAP

Udostępnij:
Wybrane dla Ciebie
Komentarze (0)