2003-05-09
Opisywana wczoraj wpadka
Microsoftu związana z luką w systemie
Passport i możliwością wycieku danych personalnych klientów firmy może się skończyć dla amerykańskiego giganta śledztwem i znaczącymi karami finansowymi.
Wczoraj (8 maja 2003 r.) autor Passportu starał się zbadać skutki błędu. Wykorzystanie "dziury" w usłudze Passport było bardzo proste - wystarczyło wprowadzić odpowiedni adres URL w oknie przeglądarki internetowej, zawierający adres e-mailowy konta, w którym należy zmienić hasło, oraz adres zwrotny, pod jaki ma być odesłana informacja o zmianie hasła.
Atakujący mógł zmienić hasło dowolnego użytkownika usługi oraz pobrać nie tylko dane osobowe klientów Microsoftu, lecz również numery ich kart kredytowych.
Ujawnienie tak poważnego błędu w usłudze Passport jest dla Microsoftu opóźnieniem w pracach nad jego wizją usług sieciowych. Wpadka ta może się skończyć nie tylko pogorszeniem stosunków z klientami.
W sierpniu zeszłego roku Microsoft podpisał deklarację, w której obiecał Federalnej Komisji Handlu (FTC), iż nie będzie publikował błędnych informacji dotyczących systemów ochrony bezpieczeństwa i prywatności w usłudze Passport. Autor systemu zobowiązał się również do zwiększenia bezpieczeństwa przechowywanych tam danych.
Gdyby się okazało, że Microsoft po podpisaniu umowy wprowadził funkcję, która doprowadziła do zmiany haseł, potencjalne wszczęcie śledztwa mogłoby się zakończyć nałożeniem sporych kar finansowych sięgających kwoty 2,2 biliona dolarów.
W środę Microsoft zablokował podejrzane konta, zmuszając pewną liczbę użytkowników Passportu do osobistego kontaktu z biurem obsługi klienta w celu ich odblokowania. Zablokowanie konta Passport wiąże się z niemożnością skorzystania z takich serwisów, jak MSN czy Hotmail.
W czwartek amerykańska firma udostępniła najnowszą, poprawioną już wersję usługi - zapewnił Adam Sohn, menedżer produktu Passport.
CNET News" rel="nofollow">www
Kosztowna wpadka
