Újabb hiba a Microsoft Passportjában

Egyes felhasználói visszajelzések szerint a redmondi cég Passport szolgáltatásában ismét problémák adódtak. A rendszert használók egy része hétfőn tapasztalta ennek tünetét: a régebbi accountok tulajdonosai nem tudták megváltoztatni jelszavukat.

A Microsoft képviseletében Jeff Jones, a cég egyik menedzsere nyilatkozott. Jones elmondta, hogy egy olyan biztonsági probléma merült fel, aminek révén támadók képesek lettek volna eltulajdonítani a szolgáltatást használók jelszavát. Arról nem tudott nyilatkozni a menedzser, ez hány embert érinthetett, de azt közölte, hogy csak azok számára vált elérhetetlenné a jelszóváltoztatás, akik már négy éve (vagy még régebb óta) használják a Passportot. Jones véleménye szerint ezzel a módszerrel egyetlen felhasználó adatait sem szerezték meg.

Ez már a második sérülékenység az idei évben, ami felmerült a Passporttal kapcsolatban. A korábbi hiba a Passport jelszóvisszaszerző eljárásában rejlett, melynek révén lehetővé vált a támadó számára, hogy bármely olyan felhasználó jelszavát megváltoztassa, akinek ismeri a felhasználónevét. A Full Disclosure levelezőlistán publikált sérülékenység a kihasználhatóság egyszerűsége és a megszerezhető adatok minősége miatt napvilágra kerülésekor kritikus besorolást kapott.

Még tavaly augusztusban írta alá a Microsoft azt a megállapodást a Federal Trade Comissionnel (FTC), melyben vállalta, hogy nem ad ki hamis közleményt a biztonsági és személyes adatok védelméről a Passport szolgáltatásában, illetve hogy ezek védelmét tovább fejleszti. A most kialakult helyzetet akár egy vizsgálat is követheti az FTC részéről (ahogyan ennek korábban is fennállt a lehetősége), aminek következtében akár 11 ezer dolláros büntetést is fizethet a Microsoft – minden egyes szabálysértésért.