Biztonsági rés a .Net Passportban

A szoftveróriás Microsoft kijavította azt a közelmúltban felfedezett Passport hibát, amely lehetővé tette a támadók számára, hogy hozzáférjenek egyes felhasználók adataihoz.

A hibára egy biztonsági problémákkal foglalkozó levelezőlistán derült fény az elmúlt héten. A Microsoft, és egyéb társaságok által alkalmazott .Net Passport online azonosítórendszer lehetővé teszi, hogy a felhasználók e-mail postafiókjuk, valamint egy jelszó segítségével azonosítsák magukat a Világhálón a különböző szolgáltatások használata közben.

A hiba felfedezője, aki magát Victor Manuel Alvarez Castrónak nevezi közölte a levelezőlistán, hogy egy biztonsági rés található a .Net Passport azon funkciójában, amely lehetővé teszi az elfelejtett jelszó kitörlését, és újjal való kiváltását.

A Passport rendszer jelenleg egy előre meghatározott titkos kérdést tesz fel annak, aki elfelejtette jelszavát. Ez a rendszer azonban csak 1999-től működik, így aki korábban regisztrálta magát, annak a támadók megszerezhették a Passport azonosítóját, illetve személyes adatait. Ehhez csak a felhasználó e-mail címét, valamint lakóhelyének földrajzi elhelyezkedését kellett ismerni.

Jeff Jones, a Microsoft Megbízható Számítástechnika kezdeményezésének biztonsági vezetője úgy véli, a probléma kis horderejű volt, és csak kevés felhasználót érintett. A társaság a napokban lecserélte az elfelejtett jelszó kitörlésének eljárását az érintett felhasználók számára, így a támadók már nem férhetnek hozzá az adatokhoz.

John Pescatore, a Gartner piackutató cég kutatási igazgatója úgy véli, a probléma valóban nem volt komoly, mivel a támadónak az e-mailcím ismerete mellett a várost, irányítószámot, és államot is ismernie kellett a jelszó kitörléséhez. A szakértő azonban jelentősnek ítéli a probléma felhasználói bizalomra irányuló negatív hatását.