Microsoft (Börse Frankfurt: MSF) hat einen Schlüsselservice seiner Passport-Lösung vom Netz genommen, nachdem ein Open Source-Programmierer ein schwerwiegendes Sicherheitsloch darin nachweisen konnte.
Der „Wallet-Service“ ist ein Zusatz-Dienst für Passport-Benutzer, zu dem sie sich auch extra anmelden müssen. Darin werden Nutzer-Informationen für E-Commerce-Sites gespeichert. Vorteil für den Kunden: Er muss seine Daten nicht bei jedem Einkauf erneut komplett eingeben. Microsoft hatte die Nutzung von Passport in jüngster Zeit verstärkt propagiert.
„Es ist ziemlich einfach, das von mir verwendete Beispiel-Sicherheitsloch dichtzumachen“, erklärte der Software-Ingenieur Marc Slemko. „Aber das zugrunde liegende Problem in Passport zu schließen, ist recht komplex.“
Slemko konnte nach eigenen Angaben in zahlreichen Fällen auf die Finanz-Daten im Wallet-Service eines Users zugreifen, indem er eine speziell manipulierte E-Mail an das Hotmail-Konto des Kunden sandte. Er nutzte dabei zwei sogenannte cross-scripting Sicherheitslöcher. Diese treten auf, wenn die Kommunikation zwischen zwei Applikationen wie beispielsweise einer Web-Mail-Site und einer Finanz-Seite nicht ganz genau nach Sicherheitsaspekten überprüft werden.
Slemko machte sich diese Tatsachen zunutze. Zudem wusste er, dass sich innerhalb von 15 Minuten nach dem Anmelden des Nutzers dessen Autorisation auf alle weiteren aktivierten Dienste – gegebenenfalls auch Passport – überträgt. Öffnet der Hotmail-Benutzer während dieser Viertelstunde die manipulierte E-Mail, kann ein Hacker an seine entsprechenden Wallet-Cookies kommen und innerhalb besagter 15 Minuten diesen Dienst unter falscher Identität nutzen.
Der Open Source-Programmierer Slemko macht kein Hehl aus seiner Abneigung gegen das Passport-System. Slemko gibt an, er habe nach 30 Minuten Brainstorming die entscheidende Idee für den Hack gehabt. „Es liegt doch auf der Hand, dass Microsoft entweder nicht genügend Ressourcen hat, um ihre Sicherheits-Features gründlich zu untersuchen, oder dass sie von diesen Problemen wissen, aber entschieden haben, es sei wichtiger Marktanteile zu gewinnen, als die Sicherheit der User zu gewährleisten“, erklärte der Programmierer in einer Stellungnahme auf seiner Web-Site.
Microsoft bestätigte die Sicherheitsprobleme, wie von Slemko beschrieben. Das Unternehmen nahm am Donnerstag den unter Wallet verfügbaren Express-Service vom Internet, um den Diebstahl von Kundendaten zu verhindern. „Wenn man weiß, dass die Daten von keinem einzigen Nutzer gestohlen wurden, nimmt das die Luft aus der Sache“, erklärte der Produktmanager der .Net-Strategie Adam Sohn.
Beim Passport-Service von Microsoft füllt der Benutzer einmal ein Formular mit seinen Daten aus und erhält dafür dann Zugang zu verschiedenen Websites. Dies ist das zentrale Feature der .Net-Strategie. Der Anwender muss keine weiteren neuen Formulare ausfüllen, weil die Services via XML miteinander kommunizieren.
Kontakt: Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)
Malware-Kampagne nutzt Beliebtheit von KI-Tools aus und tarnt sich als KI-Stimmengenerator und wird über Phishing-Webseiten…
Christoph Schuhwerk, CISO EMEA bei Zscaler, über den Einfluss von KI auf den permanenten Wettlauf…
Von ihr geht ein hohes Risiko aus. Laut Google ist ein Exploit für die Chrome…
Kaspersky stellt eine hohe Nachfrage nach datenstehlender Malware in kriminellen Kreisen fest. Die Infostealer sind…
Neue Funktion in GoTo Resolve schützt Nutzer von Mobilgeräten vor Finanzbetrug, indem sie Support-Sitzungen überwacht…
Es ist das erste Plus seit dem dritten Quartal 2021. Die Marktforscher von Counterpoint rechnen…