Passport znów dziurawy

Victor Manuel Alvarez Castro, przedstawiający się jako "niezależny konsultant ds. zabezpieczeń" poinformował o wykryciu nowej "dziury" w zabezpieczeniach usługi Passport Microsoftu. Poważny błąd, umożliwiający uzyskanie nieautoryzowanego dostępu do konta użytkownika Passportu odnalazł on w funkcji "Secret Question", pozwalającej na odzyskanie zapomnianego hasła.

Usługa Passport służy (w dużym uproszczeniu) do ułatwienia internautom logowania się do serwisów internetowych (m.in. do systemu kont pocztowych Hotmail). Niezbędne do tego dane gromadzone są na serwerach Microsoftu i w momencie logowania udostępniane określonemu serwisowi - dzięki temu użytkownik nie musi pamiętać kilku różnych haseł (wystarczy, że pamięta hasło dostępu do Paszportu).

Wykryty przez Castro błąd umożliwia hakerowi "zresetowanie" hasła użytkownika i zastąpienie go własnym hasłem. Według Castro, osoba, która będzie znała adres e-mailowy danego użytkownika oraz kraj, z którego on pochodzi, będzie mogła przeprowadzić tę operację - pod warunkiem jednak, że "atakowane" konto utworzone było przed wdrożeniem funkcji "Secret Question" (co nastąpiło, jak mówi Castro, kilka lat temu).

Jeśli haker zdoła przeprowadzić opisaną wyżej procedurę, uzyska pełny dostęp do konta użytkownika i przechowywanych w ramach usługi Passport danych.

Microsoft na razie nie skomentował tych doniesień.