Microsoft stopft gefährliches Loch bei Passport

Microsoft hat ein gefährliches Loch bei Passport gestopft. Man habe über Nacht die Sicherheit verbessert und ein neues System eingesetzt, dass eigentlich von Anfang an hätte zum Einsatz kommen sollen, gestand Produkt-Manager Adam Sohn ein.

Bei der Lücke handelt es sich um das wahrscheinlich größte Sicherheitsloch, seitdem Microsoft seine „Trustworthy Computing“-Initiative ins Leben gerufen hat. Angreifern soll es möglich gewesen sein, sämtliche Daten der Passport-Nutzer, einschließlich ihrer Kreditkartennummern, einsehen zu können.

Aufgetreten ist die Lücke im Erinnerungssystem für vergessene Passwörter: Ein Angreifer hatte die Möglichkeit, ein Passwort nach Belieben zu ändern, sobald ihm der Benutzername bekannt war. Daraufhin konnte er in den Account eindringen und die Daten einsehen.

„Es ist uns einfach durch die Qualitätskontrollen gerutscht“, begründete Sohn das Auftreten der Lücke. Seinen Worten zufolge bestand die Lücke seit September letzten Jahres. Man versuche derzeit herauszufinden, welchen potenziellen Schaden Angreifer hätten anrichten können, so Sohn.

Microsoft schätzt die Zahl der aktiven Passport-User auf 200 Millionen. Das System ist dafür konzipiert, dass User mit einem einheitlichen Benutzernamen und Kennwort in diversen Online-Shops und bei Microsoft-Partnern einkaufen können.

Aufgedeckt wurde das Loch von einem pakistanischen Sicherheits-Spezialisten. Er hatte die Öffentlichkeit in der Nacht zum Donnerstag amerikanischer Zeit in einer Mailingliste informiert. „Es ist so einfach, dass es lustig ist“, ließ der Student verlauten, der sich den Namen Muhammad Faisal Rauf Danka gab. Er will versucht haben, mit Microsoft unter anderem über die Mail security@microsoft.com Kontakt aufzunehmen, allerdings ohne Erfolg. Erst daraufhin habe er sich an die Öffentlichkeit gewandt.

Sohn kommentierte dies mit dem Hinweis, dass es sich bei dieser Mail-Adresse um einen allgemeinen Account für die Sicherheits-Teams von Microsoft handele, nicht um eine Adresse für die Produktsicherheit. „Aus Erfahrung wird man klug“, kommentierte der Microsoft-Manager das Vorkommnis. Er will dafür sorgen, dass künftig solche Hinweise ernster genommen werden.

ZDNet.de Redaktion

Recent Posts

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

4 Stunden ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

18 Stunden ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

18 Stunden ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

2 Tagen ago

Chrome 131 schließt zwölf Sicherheitslücken

Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…

2 Tagen ago

DeepL Voice mit KI für Sprach- übersetzungen

DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.

2 Tagen ago