Microsoft (Börse Frankfurt: MSF) hat einen Schlüsselservice seiner Passport-Lösung vom Netz genommen, nachdem ein Open Source-Programmierer ein schwerwiegendes Sicherheitsloch darin nachweisen konnte.
Der „Wallet-Service“ ist ein Zusatz-Dienst für Passport-Benutzer, zu dem sie sich auch extra anmelden müssen. Darin werden Nutzer-Informationen für E-Commerce-Sites gespeichert. Vorteil für den Kunden: Er muss seine Daten nicht bei jedem Einkauf erneut komplett eingeben. Microsoft hatte die Nutzung von Passport in jüngster Zeit verstärkt propagiert.
„Es ist ziemlich einfach, das von mir verwendete Beispiel-Sicherheitsloch dichtzumachen“, erklärte der Software-Ingenieur Marc Slemko. „Aber das zugrunde liegende Problem in Passport zu schließen, ist recht komplex.“
Slemko konnte nach eigenen Angaben in zahlreichen Fällen auf die Finanz-Daten im Wallet-Service eines Users zugreifen, indem er eine speziell manipulierte E-Mail an das Hotmail-Konto des Kunden sandte. Er nutzte dabei zwei sogenannte cross-scripting Sicherheitslöcher. Diese treten auf, wenn die Kommunikation zwischen zwei Applikationen wie beispielsweise einer Web-Mail-Site und einer Finanz-Seite nicht ganz genau nach Sicherheitsaspekten überprüft werden.
Slemko machte sich diese Tatsachen zunutze. Zudem wusste er, dass sich innerhalb von 15 Minuten nach dem Anmelden des Nutzers dessen Autorisation auf alle weiteren aktivierten Dienste – gegebenenfalls auch Passport – überträgt. Öffnet der Hotmail-Benutzer während dieser Viertelstunde die manipulierte E-Mail, kann ein Hacker an seine entsprechenden Wallet-Cookies kommen und innerhalb besagter 15 Minuten diesen Dienst unter falscher Identität nutzen.
Der Open Source-Programmierer Slemko macht kein Hehl aus seiner Abneigung gegen das Passport-System. Slemko gibt an, er habe nach 30 Minuten Brainstorming die entscheidende Idee für den Hack gehabt. „Es liegt doch auf der Hand, dass Microsoft entweder nicht genügend Ressourcen hat, um ihre Sicherheits-Features gründlich zu untersuchen, oder dass sie von diesen Problemen wissen, aber entschieden haben, es sei wichtiger Marktanteile zu gewinnen, als die Sicherheit der User zu gewährleisten“, erklärte der Programmierer in einer Stellungnahme auf seiner Web-Site.
Microsoft bestätigte die Sicherheitsprobleme, wie von Slemko beschrieben. Das Unternehmen nahm am Donnerstag den unter Wallet verfügbaren Express-Service vom Internet, um den Diebstahl von Kundendaten zu verhindern. „Wenn man weiß, dass die Daten von keinem einzigen Nutzer gestohlen wurden, nimmt das die Luft aus der Sache“, erklärte der Produktmanager der .Net-Strategie Adam Sohn.
Beim Passport-Service von Microsoft füllt der Benutzer einmal ein Formular mit seinen Daten aus und erhält dafür dann Zugang zu verschiedenen Websites. Dies ist das zentrale Feature der .Net-Strategie. Der Anwender muss keine weiteren neuen Formulare ausfüllen, weil die Services via XML miteinander kommunizieren.
Kontakt: Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)
Neueste Kommentare
Noch keine Kommentare zu Sicherheitsloch in Microsofts Passport-Lösung
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.