Microsoft risikerer milliarder i bot etter Passport-glipp

En pakistansk IT-ekspert oppdaget hvordan en enkel URL kunne kapre andres Passport-kontoer. Microsoft risikerer bøter opptil 2200 milliarder dollar.

Onsdag ble Microsoft varslet av den pakistanske IT-eksperten Muhammad Faisal Rauf Danka at det var en alvorlig sikkerhetsfeil i Passport-tjenesten. Microsoft bekreftet torsdag at feilen gjorde det mulig for utenforstående å kapre enhver av tjenestens 200 millioner kontoer ved å sende en bestemt URL (web-adresse) med strengen "emailpwdreset". Egenskapen som gjorde det mulig for brukere å endre passordet sitt ble øyeblikkelig satt ut av funksjon da feilen ble lagt ut på Internett.

Passport gir engangspålogging til beskyttede tjenester som MSN Messenger og Hotmail (e-post), og autentiserer brukeren overfor online-butikker som eBay og Starbucks. Den som får tilgang til andres Passport-kontoer, kan samtidig få tilgang til en rekke følsomme opplysninger, blant annet betalings- og kredittkort.

Til nyhetsbyråene sier Microsoft at de ikke vet om skadelidende brukere som følge av feilen. Men Danka sier til de samme byråene at han var irritert over at hans og en venns Passport-kontoer til stadighet var blitt kapret, og bestemte seg for å finne ut hva som egentlig foregikk. Det tok ham fire minutter å finne fram til URL-en som gjorde ham til potensiell herre over 200 millioner Passport-kontoer med fortrolig informasjon. Hans kommentar: "Det var enkelt. Det skulle ikke vært så enkelt. Hvem som helst kunne gjort dette."

Passport-tjenesten har lenge vært kritisert for slett sikkerhet. For halvannet år siden ble det avdekket et sikkerhetshull som gjorde det mulig for utenforstående å få tak i følsomme opplysninger fra brukerne. USAs konkurransemyndighet, Federal Trade Commission (FTC) etterforsket saken, og slo fast at Microsoft hadde drevet villedende markedsføring av Passport og overdrevet ordningens sikkerhetsegenskaper. De påla følgelig Microsoft å avstå fra villedende beskrivelser om sikkerheten og personvernet i Passport, og til å bedre tjenesten på begge disse punktene.

En av forbedringene kom i september: Et opplegg som lot brukerne få tilgang til sine Passport-kontoer, selv om de hadde glemt passordet.

Øyensynlig virket ordningen slik at når endringen var registrert og godtatt av systemet, skulle den kommuniseres videre til brukerlisten gjennom en URL med strengen emailpwdreset. Opphavet til denne URL-en skulle selvfølgelig bare være en betrodd server i Microsofts eget nettverk. Men slik ordningen ble satt opp, ble ikke dette kontrollert.

– Vi validerte ikke denne inndataen, innrømmer Microsofts produktsjef Adam Sohn til Associated Press. – Vi lot noen utenfor systemet gjør noe som bare systemet selv skulle hatt anledning til.

Avtalen mellom Microsoft og FTC innebærer at Microsoft kan bøtelegges med opptil 11.000 dollar for hvert brudd på avtalen. En av direktørene i FTC, Jessica Rich, sier til byråene at hver sårbar konto kan utgjøre et brudd på avtalen. Dersom det medfører riktighet, slik Microsoft påstår, at Passport har 200 millioner aktive brukere, innebærer det at den samlede boten kan komme opp i 2200 milliarder dollar.

Rich advarer at kriteriet for bøtelegging er ikke at noe har gått galt. FTC må vurdere hvorvidt selve tiltakene Microsoft har gjennomført i henhold til avtalen, svarer til avtalens hensikt og mål. Sikkerhet er aldri absolutt. Microsofts håndtering av Passport må følgelig vurderes ut fra hvorvidt tiltakene er rimelige eller ikke.

Personvernorganisasjonene EPIC (Electronic Privacy Information Center) og Junkbusters Corporation var blant dem som sto bak den opprinnelige klagen om Passport. De krever at den aktuelle saken får følger for Microsoft.

Også EU har en etterforskning gående rundt personvernet i Passport.

Til toppen