Microsoft hat ein gefährliches Loch bei Passport gestopft. Man habe über Nacht die Sicherheit verbessert und ein neues System eingesetzt, dass eigentlich von Anfang an hätte zum Einsatz kommen sollen, gestand Produkt-Manager Adam Sohn ein.
Bei der Lücke handelt es sich um das wahrscheinlich größte Sicherheitsloch, seitdem Microsoft seine „Trustworthy Computing“-Initiative ins Leben gerufen hat. Angreifern soll es möglich gewesen sein, sämtliche Daten der Passport-Nutzer, einschließlich ihrer Kreditkartennummern, einsehen zu können.
Aufgetreten ist die Lücke im Erinnerungssystem für vergessene Passwörter: Ein Angreifer hatte die Möglichkeit, ein Passwort nach Belieben zu ändern, sobald ihm der Benutzername bekannt war. Daraufhin konnte er in den Account eindringen und die Daten einsehen.
„Es ist uns einfach durch die Qualitätskontrollen gerutscht“, begründete Sohn das Auftreten der Lücke. Seinen Worten zufolge bestand die Lücke seit September letzten Jahres. Man versuche derzeit herauszufinden, welchen potenziellen Schaden Angreifer hätten anrichten können, so Sohn.
Microsoft schätzt die Zahl der aktiven Passport-User auf 200 Millionen. Das System ist dafür konzipiert, dass User mit einem einheitlichen Benutzernamen und Kennwort in diversen Online-Shops und bei Microsoft-Partnern einkaufen können.
Aufgedeckt wurde das Loch von einem pakistanischen Sicherheits-Spezialisten. Er hatte die Öffentlichkeit in der Nacht zum Donnerstag amerikanischer Zeit in einer Mailingliste informiert. „Es ist so einfach, dass es lustig ist“, ließ der Student verlauten, der sich den Namen Muhammad Faisal Rauf Danka gab. Er will versucht haben, mit Microsoft unter anderem über die Mail security@microsoft.com Kontakt aufzunehmen, allerdings ohne Erfolg. Erst daraufhin habe er sich an die Öffentlichkeit gewandt.
Sohn kommentierte dies mit dem Hinweis, dass es sich bei dieser Mail-Adresse um einen allgemeinen Account für die Sicherheits-Teams von Microsoft handele, nicht um eine Adresse für die Produktsicherheit. „Aus Erfahrung wird man klug“, kommentierte der Microsoft-Manager das Vorkommnis. Er will dafür sorgen, dass künftig solche Hinweise ernster genommen werden.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…