Microsoft hat ein gefährliches Loch bei Passport gestopft. Man habe über Nacht die Sicherheit verbessert und ein neues System eingesetzt, dass eigentlich von Anfang an hätte zum Einsatz kommen sollen, gestand Produkt-Manager Adam Sohn ein.
Bei der Lücke handelt es sich um das wahrscheinlich größte Sicherheitsloch, seitdem Microsoft seine „Trustworthy Computing“-Initiative ins Leben gerufen hat. Angreifern soll es möglich gewesen sein, sämtliche Daten der Passport-Nutzer, einschließlich ihrer Kreditkartennummern, einsehen zu können.
Aufgetreten ist die Lücke im Erinnerungssystem für vergessene Passwörter: Ein Angreifer hatte die Möglichkeit, ein Passwort nach Belieben zu ändern, sobald ihm der Benutzername bekannt war. Daraufhin konnte er in den Account eindringen und die Daten einsehen.
„Es ist uns einfach durch die Qualitätskontrollen gerutscht“, begründete Sohn das Auftreten der Lücke. Seinen Worten zufolge bestand die Lücke seit September letzten Jahres. Man versuche derzeit herauszufinden, welchen potenziellen Schaden Angreifer hätten anrichten können, so Sohn.
Microsoft schätzt die Zahl der aktiven Passport-User auf 200 Millionen. Das System ist dafür konzipiert, dass User mit einem einheitlichen Benutzernamen und Kennwort in diversen Online-Shops und bei Microsoft-Partnern einkaufen können.
Aufgedeckt wurde das Loch von einem pakistanischen Sicherheits-Spezialisten. Er hatte die Öffentlichkeit in der Nacht zum Donnerstag amerikanischer Zeit in einer Mailingliste informiert. „Es ist so einfach, dass es lustig ist“, ließ der Student verlauten, der sich den Namen Muhammad Faisal Rauf Danka gab. Er will versucht haben, mit Microsoft unter anderem über die Mail security@microsoft.com Kontakt aufzunehmen, allerdings ohne Erfolg. Erst daraufhin habe er sich an die Öffentlichkeit gewandt.
Sohn kommentierte dies mit dem Hinweis, dass es sich bei dieser Mail-Adresse um einen allgemeinen Account für die Sicherheits-Teams von Microsoft handele, nicht um eine Adresse für die Produktsicherheit. „Aus Erfahrung wird man klug“, kommentierte der Microsoft-Manager das Vorkommnis. Er will dafür sorgen, dass künftig solche Hinweise ernster genommen werden.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Suchmaschinenoptimierung (SEO) ist ein zentraler Faktor für den nachhaltigen Erfolg im digitalen Wettbewerb. Sie generiert…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…