Microsoft NET Passport: další problémy!

Microsoft čelí obrovským problémům po odhalení další bezpečnostní chyby v systému Passport, která při znalosti emailové adresy uživatele zpřístupnila veškeré údaje včetně čísel kreditních karet. Půjde i o velké peníze.

Ve čtvrtek zpravodajský server Cnet News.com oznámil existenci bezpečnostní chyby v systému Microsoft .Net Passport, který slouží pro autorizaci přístupů k nejrůznějším internetovým službám. Díra v zabezpečení Passportu umožňovala útočníkům plný přístup k uživatelským účtům. Stačilo znát správnou emailovou adresu uživatele, což je informace velice snadno dostupná.

Microsoft se v posledních měsících snaží zlepšit svoji pověst v oblasti bezpečnosti svých produktů prostřednictvím projektu Trustworthy Computing, ale tento poslední vývoj mu vráží nůž do zad. V minulém roce Microsoft písemně slíbil americké Federal Trade Commission, že se zdrží klamavých a nepřesných vyjádření o bezpečnosti služby Passport a vyvine úsilí na lepší zabezpečení služby. Problémy měl Microsoft kvůli Passportu i s Evropskou unií (viz článek).

Právě FTC se v souvislosti s posledním incidentem hodlá podívat Passportu znovu pořádně na zoubek. Potenciální vyšetřování by mohlo přinést Microsoftu i citelnou finanční ztrátu, každý napadený účet by MS mohl stát až jedenáct tisíc dolarů. Nebezpečí pro MS se skrývá v novince, kterou do Passportu přidal v loňském září. Právě zranitelná funkce „reset passport“ je klíčem ke zneužití služby k přístupu k cizím účtům. FTC nyní bude posuzovat, nakolik je implementace této vlastnosti v souladu s původní dohodou Federal Trade Commission a Microsoftu.

Princip útoku byl jednoduchý. Proces resetování hesla probíhal tak, že se ve webovém prohlížeči zobrazovala nešifrovaná emailová adresa uživatele a email, na který má být nově vytvořené heslo odesláno. Hackerům tak stačilo zadat do adresní řádky prohlížeče jedinou řádku textu a mohli získat přístup k osobním informacím kteréhokoliv uživatele služby Passport, i kdyby to byl sám Bill Gates.

Okamžitě po oznámení existence této chyby Microsoft funkci „reset passport“ znepřístupnil a zveřejnil na internetu informace o této chybě. Microsoft zároveň znepřístupnil účty, které prošly v posledních dnech procedurou resetování hesla a vyzval uživatele, kteří se nemohou přihlásit, aby kontaktovali zákaznickou podporu.

Podle některých zpráv to vypadá, že pokud se FTC rozhodne vymáhat pokutu, celková výše finančního trestu může dosáhnout 2,2 bilionu amerických dolarů. Tato pro Microsoft katastrofální situace by mohla nastat, pokud se jako narušené počítaly všechny účty, které Microsoft ve své službě Passport spravuje. Mnohem pravděpodobnější ale je, že jako základ pro vyměření případné pokuty bude brán počet zablokovaných účtů, který je samozřejmě mnohem nižší, i když žádné bližší údaje nejsou k dispozici.

Diskuze (56) | WinHEC: Spousta novinek o Longhornu

Témata článku: Microsoft, Reset, Problém, Osobní klíč, Federal Trade Commission, Pas, Trade, Celková výše

Určitě si přečtěte


Aktuální číslo časopisu Computer

Zachraňte nefunkční Windows

Jak nakupovat a prodávat kryptoměny

Otestovali jsme konvertibilní notebooky

Velký test 14 herních myší