Apache-gründer avslørte sikkerhetshull i Microsoft Passport

Marc Slemko, medgründer i Apache Software Foundation, avslørte et alvorlig hull i betalingstjenesten til Microsoft Passport.

Torsdag i forrige uke varslet Marc Slemko, kjent debattant og uavhengig medgründer av Apache Software Foundation, at han hadde brukt en halvtime på å spekulere ut en metode for å hente personopplysninger til en tilfeldig valgt bruker av Wallet, betalingstjenesten til Passport, den digitale legitimasjon som Microsoft tilbyr all verdens Internett-brukere.

Slemko ga en svært virkningsfull demonstrasjon av metoden overfor redaksjonen i Wired. Offeret mottok en uskyldig melding over Passports e-posttjeneste Hotmail. Noen minutter etter ringte Slemko og leste opp nummerets på offerets kredittkortkonto, kontaktinformasjon og andre personopplysninger. Han hadde også de nødvendige kodene for å bruke disse opplysningene til å tappe kontoen.

E-postmeldingen inneholdt html-kode som gravde fram informasjon fra cookies på offerets maskin og sendte den tilbake til Slemko. Fordi offeret nettopp hadde logget seg inn på Hotmail via Passport da meldingen ble lest, hadde Slemko fortsatt god tid på seg til å tappe offerets bankkonto. Av hensyn til brukervennligheten holder Passport alle andre tjenester åpne i ett kvarter etter at man logger seg på Hotmail.

Det vil si, ikke nå lenger. Slemko varslet også Microsoft. Tidsparameteren er ikke lenger femten minutter, men ett minutt. Microsoft har også fikset de to andre sårbarhetene som Slemko benyttet, Hotmails håndtering av html, og Passports håndtering av krysskript.

Microsoft hevder at ingen har greid å tappe Passport-brukere for penger med denne metoden, og mener Slemko har gjort et avansert stykke arbeid. Wallet-tjenesten ble sperret i 48 timer fra torsdag ettermiddag mens Microsoft tettet de tre hullene og sjekket etter mulige relaterte problemer.

Slemko selv mener det han er gjort er nærmest trivielt. Han er ganske sikker på at det finnes en rekke sårbarheter som er like trivielt tilgjengelige som dem han utnyttet. Han skriver i en kommentar at Microsoft enten ikke har tilstrekkelige ressurser til å sikre sine tjenester, eller neglisjerer sikkerhetsspørsmål bevisst for å sikre seg markedsandeler. Han mener det er svært betenkelig at Microsoft søker å markedsføre Passport som en gangbar form for universell legitimasjon.

Passport har 200 millioner registrerte brukere, hvorav Microsoft betrakter 120 millioner som aktive. Betalingstjenesten Wallet har to millioner brukere som kan nytte den på sytti nettsteder, blant dem eBay. Prudential Banking vurderer å erstatte Entrust med Passport som legitimasjon til nettbanken Egg.com.

Til toppen