Dziurawy Passport Microsoftu

W systemie autoryzacji internautów Passport Microsoftu wykryto poważny błąd, który mógł zostać wykorzystany przez hakerów do uzyskania dostępu do danych użytkowników systemu - w tym m.in. do numerów ich kart kredytowych.

Wydarzenia
30-31 marca 2017 r.

Już po raz dziesiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum...

Zarejestruj się
O wykryciu błędu poinformował serwis CNET, który informację tę uzyskał od jednego ze swoich czytelników. Wiadomo już, że "dziura" w zabezpieczeniach Passport była stosunkowo prosta do wykorzystania - pozwalała na łatwe zmienienie hasła dostępu do konta osobie, która znała jedynie login użytkownika. Po zmienieniu hasła (bez podawania oryginalnego), haker nie tylko dysponował kompletem danych, niezbędnych do zalogowania się do systemu, ale także skutecznie "odcinał" prawowitego użytkownika od jego konta.

W e-mailu przesłanym do redakcji CNET przez Muhammada Faisal Rauf Danka, który odkrył ów błąd, przeczytać możemy, iż "dziura" ta najprawdopodbniej nie jest niczym nowym - po prostu dopiero teraz informacja o niej została przez niego wykryta i ujawniona. Niewykluczone jednak, że inni, mniej uczciwi użytkownicy korzystają z niej już od dawna. Aby "przechwycić" czyjeś hasło, wystarczyło wpisać w polu adresowym przeglądarki internetowej odpowiednio spreparowany adres URL - pozwalało to na szybkie "zresetowanie" starego hasła i zdefiniowanie nowego.

Zagrożenie związane z możliwością uzyskania nieautoryzowanego dostępu do danych użytkowników Passportu jest ogromne - przede wszystkim dlatego, że system ten przechowuje dane personalne internautów oraz numery ich kart kredytowych. "Dziura" w Passporcie naraziła więc użytkowników systemu na poważne straty finansowe, wynikające z możliwości nieautoryzowanego posługiwania się ich kartami płatniczymi.

Microsoft zareagował szybko i skutecznie, acz bez specjalnej finezji - krótko po opublikowaniu informacji o błędzie w zabezpieczeniach Passportu, po prostu wyłączono opcję umożliwiającą resetowanie hasła.

Passport to system, którego zadaniem jest m.in. uproszczenie i skrócenie wszelkich internetowych formalności - np. wypełniania formularzy podczas płacenia w e-sklepach. Użytkownik tylko musi wprowadzić swoje dane, później są one przechowywane w specjalnej bazie danych i udostępniane odpowiednim podmiotom podczas surfowania po Internecie. Znacznie skraca to czas dokonywania zakupów w Sieci czy rejestrowania się do płatnych serwisów.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.