Microsoft stopft gefährliches Loch bei Passport

Angreifer konnten mit simpler Methode an sämtliche Daten der User kommen

Microsoft hat ein gefährliches Loch bei Passport gestopft. Man habe über Nacht die Sicherheit verbessert und ein neues System eingesetzt, dass eigentlich von Anfang an hätte zum Einsatz kommen sollen, gestand Produkt-Manager Adam Sohn ein.

Bei der Lücke handelt es sich um das wahrscheinlich größte Sicherheitsloch, seitdem Microsoft seine „Trustworthy Computing“-Initiative ins Leben gerufen hat. Angreifern soll es möglich gewesen sein, sämtliche Daten der Passport-Nutzer, einschließlich ihrer Kreditkartennummern, einsehen zu können.

Aufgetreten ist die Lücke im Erinnerungssystem für vergessene Passwörter: Ein Angreifer hatte die Möglichkeit, ein Passwort nach Belieben zu ändern, sobald ihm der Benutzername bekannt war. Daraufhin konnte er in den Account eindringen und die Daten einsehen.

„Es ist uns einfach durch die Qualitätskontrollen gerutscht“, begründete Sohn das Auftreten der Lücke. Seinen Worten zufolge bestand die Lücke seit September letzten Jahres. Man versuche derzeit herauszufinden, welchen potenziellen Schaden Angreifer hätten anrichten können, so Sohn.

Microsoft schätzt die Zahl der aktiven Passport-User auf 200 Millionen. Das System ist dafür konzipiert, dass User mit einem einheitlichen Benutzernamen und Kennwort in diversen Online-Shops und bei Microsoft-Partnern einkaufen können.

Aufgedeckt wurde das Loch von einem pakistanischen Sicherheits-Spezialisten. Er hatte die Öffentlichkeit in der Nacht zum Donnerstag amerikanischer Zeit in einer Mailingliste informiert. „Es ist so einfach, dass es lustig ist“, ließ der Student verlauten, der sich den Namen Muhammad Faisal Rauf Danka gab. Er will versucht haben, mit Microsoft unter anderem über die Mail security@microsoft.com Kontakt aufzunehmen, allerdings ohne Erfolg. Erst daraufhin habe er sich an die Öffentlichkeit gewandt.

Sohn kommentierte dies mit dem Hinweis, dass es sich bei dieser Mail-Adresse um einen allgemeinen Account für die Sicherheits-Teams von Microsoft handele, nicht um eine Adresse für die Produktsicherheit. „Aus Erfahrung wird man klug“, kommentierte der Microsoft-Manager das Vorkommnis. Er will dafür sorgen, dass künftig solche Hinweise ernster genommen werden.

Themenseiten: Business, Telekommunikation

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft stopft gefährliches Loch bei Passport

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *