Mária
-6 °C
2 °C

A Microsoft kijavítja a Passport hibáit

2001.11.05. 14:09
A Microsoft elismerte az egységes Passport azonosítórendszer hibáit, és javításokat készít az internetes vásárlások biztonságos lebonyolítására létrehozott technológia védelmére. A hiba révén hackerek egyetlen e-mail elküldésével megszerezhették volna a felhasználók hitelkártyaszámait és személyes adataikat. A szoftvercég szerint a védelmi hibát csak egy képzett hacker találhatta volna meg. A rés így is súlyosnak minősül, hiszen a Passport a korábbiak mellett a Microsoft új alkalmazásainak, például a .NET kezdeményezésnek is integrált része.
A Microsoft szerint kétmillió ügyfelük használja a Passporthoz tartozó e-wallet (elektronikus pénztárca) lehetőségeit. Ennek ellenére nincs bizonyíték arra, hogy bárkit kár ért volna. A szoftvercég mindenesetre a múlt héten szerdán ideiglenesen leállította a virtuális pénztárcák használatát. Ez mintegy 70 internetes áruház vásárlóinak okoz kellemetlenséget, ahol az Express Purchase szolgáltatásaira építették fel a kínálatot. A Passport szolgáltatásaira az évek során akár 200 millió ember is feliratkozhatott. A Passport használata a Microsoft új operációs rendszere, a Windows XP alatt szinte elkerülhetetlen. A Passport azt ígéri a felhasználóknak, hogy egyszeri, megbízható ellenőrzés után azonosíthatják magukat számos weboldalon.

A cég szerint nem sérültek az ügyfelek adatai

A Microsoft nem gondolja, hogy az ügyfelek adatai bármely formában sérülhettek volna. "A Passport sikeréhez meg kell dolgozni a megfelelő bizalomért, a vállalat pedig helyes úton jár" - jelentette ki pénteken a CNN-nek Adam Sohn Microsoft-szóvivő. Elmondása szerint az XP-felhasználók egy pillanatig nem voltak veszélyben, mert az operációs rendszer további biztonsági megoldásokat tartalmaz.

Hitelkártyaszámot is lophatnak

A hibára a múlt héten a Seattle-ben élő Marc Slemko független kutató figyelt fel, és nyomban értesítette a Microsoft mérnökeit. A neves internetes védelmi szakértő elmondta: talált egy módszert, hogyan lehet átejteni a központi Passport-számítógépeket, és rábírni őket, hogy küldjék el neki valaki más virtuális pénztárcájának tartalmát. A hacker az első lépcsőben levelet küld az áldozat Microsofthoz tartozó hotmailes postaládájába. Az áldozat rákattint az átküldött internetes linknek látszó feliratra, és néhány percen belül a támadó képes használni a pénztárcáját, és nála vannak a hitelkártya adatai is.

Súlyos biztonsági hiányosság

A szoftvercég szerint a védelmi hibát csak egy képzett hacker találhatta volna meg. A rés így is súlyosnak minősül, hiszen a Passport a korábbiak mellett a Microsoft új alkalmazásainak, például a .NET kezdeményezésnek is integrált része. A Passport-felhasználók rábízhatják a Microsoftra vagy más társaságra az érzékeny személyes adataikat, például a hitelkártyaszámot vagy a egészségügyi feljegyzéseiket, és így amikor szükség van rá, ezek közvetlenül behívhatók lesznek.

Javították a hibát

A Microsoft szerint a Passport most felfedezett hibáját kiküszöbölték, és további erőfeszítéseket tesznek a biztonság növelésére. Több adatvédelmi szervezet haragját is felkeltette, ahogy a szoftvercég alkalmazásai egyre jobban ráépülnek a Passport rendszerére. Ezért felszólították a szövetségi kereskedelmi felügyeletet (Federal Trade Commission, FTC), hogy vizsgálja meg, a Microsoft képes-e biztonsítani a felhasználók rábízott adatainak megfelelő védelmét. A civil csoportosulások szerint a legújabb hiba is erősíti az érveiket.

Személyiségtolvajok álma

"Az idegen személyazonosságra pályázó tolvajok álma valósul meg azzal, ha a másik bőrébe bújáshoz elég egyetlen levelet elküldeni" - jelentette ki Jason Catlett, az adatvédelemmel foglalkozó Junkbusters elnöke. Az Electronic Privacy Information Center (EPIC) részéről Marc Rotenberg úgy nyilatkozott, igen komoly aggályokat vet fel, hogy ilyen sok amerikai állampolgár ilyen sok személyes adatát egyetlen cég őrizgeti, melynek ráadásul ennyire rossz a híre biztonsági téren. A Microsoft erre azzal reagált, a Passport-technológia a felhasználóknak azt teszi lehetővé, hogy adataikat azokra a cégekkel közöljék, melyekben megbíznak, nem csak a Microsofttal. Adam Sohn szerint soha nem volt az a hosszú távú cél, hogy egyedül a Microsoftnál tárolják az adatokat.