Connect with us

technokrata

Microsoft Passport hiba: sokba kerülhet, de kijavítottuk

Dotkom

Microsoft Passport hiba: sokba kerülhet, de kijavítottuk

A napokban felmerült Passport biztonsági résre a Microsoft igen gyorsan reagált – átmenetileg kitiltotta a hibát okozó lehetőséget szolgáltatásából, majd alig egy nap alatt kijavította. Ez azonban mégis igen sokba kerülhet a cégnek.

Hibás volt a Passport jelszóvisszaszerző eljárás, melynek révén lehetővé vált a támadó számára, hogy bármely olyan felhasználó jelszavát megváltoztassa, akinek ismeri a felhasználónevét. Egy egyszerű webcím révén elérhető volt a kritikusnak minősített hiba kihasználása, azaz a jelszó-visszaállítás a Passport szerveren. Amennyiben ugyanis az URL tartalmazta az account e-mailcímét, ennek begépelése után a Passport szerver visszaküldött egy linket, melynek révén alapértelmezettre lehetett visszaállítani az accounthoz tartozó jelszót. A link követésével a támadó képessé vált az áldozat jelszavának megváltoztatására.

A redmondi cég igen gyorsan reagált az értesítésre, két és fél órával a bejelentést követően már le volt tiltva a hiba kihasználhatósága. Nem kellett sokat várni a javítás elkészítésére sem, mely magyar idő szerint valamikor az esti órákban született meg. Tulajdonképpen egy biztonságosabb változattal cserélték le a szolgáltatást. Olyannal, amilyennek rögtön az elején lennie kellett volna – mondta Adam Sohn, a Microsoft Passport csapatának termékmenedzsere. Sohn arra nem tudott válaszolni, érintett-e valakit ez az eset, a vizsgálatok jelenleg is folynak a cégnél.

Anyagi szempontból azonban nagy érvágást jelenthet az eset: tavaly augusztusban ugyanis a Microsoft aláírt egy megállapodást a Federal Trade Comissionnel (FTC), melyben vállalta, hogy nem ad ki hamis közleményt a biztonsági és személyes adatok védelméről a Passport szolgáltatásában, illetve hogy ezek védelmét tovább fejleszti. A most kialakult helyzetet akár egy vizsgálat is követheti az FTC részéről, aminek következtében akár 11 ezer dolláros büntetést is fizethet a Microsoft – minden egyes szabálysértésért.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek