Dotkom
Kritikus biztonsági hiba a Microsoft Passport azonosító rendszerében
Személyes és hitelkártya információk kiszivárogtatását is lehetővé teszi az a biztonsági hiba, melyet a Microsoft Passport szolgáltatásában találtak.
Maga a hiba a Passport jelszóvisszaszerző eljárásában rejlett, melynek révén lehetővé vált a támadó számára, hogy bármely olyan felhasználó jelszavát megváltoztassa, akinek ismeri a felhasználónevét. A Full Disclosure levelezőlistán publikált sérülékenység a kihasználhatóság egyszerűsége és a megszerezhető adatok minősége miatt kritikus besorolást kapott.
A veszélyre egy pakisztáni férfi, név szerint Muhammad Faisal Rauf Danka bukkant, aki szerint a hiba már jó ideje megtalálható volt a rendszerben, csak eddig senki sem fedezte fel. A távol-keleti származású férfi természetesen értesítette a redmondi szoftvercéget, amely meglepően gyorsan reagált a bejelentésre: két és fél órával a figyelmeztetés után már ki volt kapcsolva a Passport veszélyes funkciója. Sean Sundwall, a cég szóvivője ezt közvetítette a nyilvánosság felé is: ˝A jelszó visszaállításának összes lehetőségét megszüntettük.˝ – mondta.
Egy egyszerű webcím révén elérhető volt a hiba kihasználása, azaz a jelszó-visszaállítás a Passport szerveren. Amennyiben ugyanis az URL tartalmazta az account e-mailcímét, ennek begépelése után a Passport szerver visszaküldött egy linket, melynek révén alapértelmezettre lehetett visszaállítani az accounthoz tartozó jelszót. A link követésével a támadó képessé vált az áldozat jelszavának megváltoztatására.
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2003/05/08/kritikus-biztonsagi-hiba-a-microsoft-passport-azonosito-rendszereben/" width="800" count="off" num="3" countmsg=""]
