Poważna luka w usłudze Passport Microsoftu narażała jej użytkowników na niebezpieczeństwo ujawnienia ich danych osobowych.
Atakujący mógł zmienić hasło dowolnego użytkownika usługi oraz pobrać nie tylko dane osobowe klientów Microsoftu, lecz również numery ich kart kredytowych.

"Dziura" w systemie została opisana wczoraj w nocy na liście mailingowej Full Disclosure.

Łatwość przeprowadzonego ataku w połączeniu z dużą liczbą danych przechowywanych przez system czyni odkryty błąd bardzo poważną usterką. "Dziura" istnieje w Passporcie od dawna, została tylko niedawno odkryta - informuje użytkownik podpisujący się na liście jako Muhammad Faisal Rauf Danka.

Microsoft zareagował natychmiast - w trzy i pół godziny po opublikowaniu informacji o błędzie wyłączył mechanizm pozwalający na zmianę haseł.

Wykorzystanie "dziury" w usłudze Passport było bardzo proste - wystarczyło wprowadzić odpowiedni adres URL w oknie przeglądarki internetowej, zawierający adres e-mailowy konta, w którym należy zmienić hasło, oraz adres zwrotny, pod jaki ma być odesłana informacja o zmianie hasła.

Klikając odnośnik, który znajdował się w wiadomości zwrotnej, atakujący był w stanie zmienić hasło konta ofiary, a po zalogowaniu się odczytywać dowolne informacje o użytkowniku.