Ernstige fout in Microsoft Passport-service ontdekt

Een Pakistaanse beveiligingsadviseur heeft gisteravond op de beveiligingslijst 'Full Disclosure' informatie vrijgegeven over een ernstige beveiligingsfout in Microsoft's Passport-service. De fout in de beveiliging bestaat al lange tijd en heeft tot gevolg dat onbekenden het wachtwoord van een willekeurig account kunnen resetten. Hierdoor komt de persoonlijke informatie die in het Passport-account te vinden is vrij, waaronder creditcard-nummers. Het gemak waarmee accounts gereset kunnen worden en het belang van de informatie die in Passport accounts opgeslagen wordt, maakt de fout tot een kritiek probleem. Nog geen vier uur nadat de informatie vrijgegeven was, had Microsoft de mogelijkheid om wachtwoorden te resetten centraal geblokkeerd, om misbruik te voorkomen. Wachtwoorden konden gereset worden door de URL aan te passen die gebruikt wordt om een wachtwoord reset op te vragen:

The flaw allowed a single Web address--or URL--to be used to request a password reset from the Passport servers. The URL contains the e-mail address of the account to be changed and the address where the attacker would like to have the reset message sent. By entering the single line into a Web browser an attacker can cause the Passport servers to return a link that allows an account's password to be reset. By following the link returned in the message, the attacker can change the password for the victim's account.