Microsoft's Passport is bij lange na niet waterdicht!

3 reacties

Een programmeur uit Seattle genaamd Marc Slemko heeft fouten gevonden in de structuur van Passport. Microsoft sloot de service direct na het uitkomen van het nieuws. Het onderdeel dat 'lekt' is de elektronische portemonnee, anders gezegd: creditcardgegevens liggen open en bloot op straat!

Slemko liet zien dat het achterhalen van creditcardinformatie van klanten van Microsoft haast een fluitje van een cent is, via Microsoft Passport. Volgens Microsoft was deze dienst volledig waterdicht, 'waarbij je je met je e-mailadres en één wachtwoord kunt aanmelden'. Blijkbaar is de veiligheid toch een beetje tegengevallen...

Het systeem van Microsoft
Microsoft wil het de gebruiker zo gemakkelijk mogelijk maken: 1 keer alle gegevens invullen, en daarna met je emailadres en wachtwoord overal inloggen. Dit kan bijvoorbeeld bij veilingsite eBay. Als er een gebruiker inlogt, wordt de creditcardinfo van de servers van Microsoft afgehaald.

De meest gebruikte Passport-functie zit in Hotmail. Alle Hotmail gebruikers hebben al een Microsoft Passport, maar volgens de softwaregigant is het pas het begin. De .NET diensten van Microsoft moeten ook op het Passport gaan leunen, maar hoe ver komt Microsoft, als de beveiliging niet helemaal 100% is?

Mede daarom is de ontdekking van programmeur Marc Slemko een flinke tegenslag voor Microsoft. Aangezien het bedrijf al geen grote naam had op het gebied van beveiliging, is dit alleen maar weer een rede om Microsoft software links te laten liggen.

Slemko's taktiek
Het principe van Cross-site scripting heeft Slemco tot deze ontdekking gebracht. Deze methode is bij de internet-goeroes al een tijdje bekend. Cross-site scripting is een mogelijkheid om tussen de gebruiker en Microsoft te gaan staan, zodat alle informatie eerst naar degene die aan het 'afluisteren' is, gaat.
Op het moment dat een gebruiker inlogte bij Microsoft met een emailadres en password, gaat Slemco's script aan het werken. Een paar minuten lang na het inloggen van de gebruikers, is alle informatie voor elke persoon beschikbaar.
Overigens benadrukt Slemco dat Cross-site scripting niet een probleem van Microsoft is, maar dat het hele Internet er mee kampt.

Microsoft schiet in een reactie overigens direct in de verdediging. Volgens de softwaregigant zijn er absoluut geen aanwijzingen dat er daadwerkelijk ook informatie is afgetapt.

Er zijn wereldwijd 165 miljoen Passport-gebruikers, waarvan er 2 miljoen beschikken over de elektronische portemonnee.

Meer informatie over de werkwijze van Slemco is te vinden op zijn site: Microsoft Passport to Trouble

Bron: Webwereld

« Vorig bericht Volgend bericht »
0
*