[IDG] Biztonsági szakértők újabb súlyos biztonsági rést fedeztek fel a Microsoft a felhasználók azonosítását és hitelesítését egyszerűsíteni hivatott Passport rendszerében. A sebezhetőség kihasználásával illetéktelen teljes hozzáférést nyerhetnek az érintett Passport azonosítókhoz, és így azok tulajdonosai nevében banki és levelező szolgáltatásokhoz férhetnek hozzá, vagy akár egy on-line boltban is vásárolhatnak.

A hiba ezúttal a Passport "titkos kérdés" (Secret Question) funkciójában rejlik, amelynek célja, hogy lehetővé tegyé a felhasználók részére a hozzáférést azonosítóikhoz abban az esetben, ha elfelejtenék a belépési jelszavaikat.

Az azonosítók a frissen felfedezett hibán keresztüli feltöréséhez a támadónak mindössze az áldozat e-mail címét, valamint hazájának nevét kell ismernie. Ezen kívül Egyesült Államok-beli azonosítók esetén a postai irányítószámra is szükség lehet, amelynek birtokában azonban teljes hozzáférést nyerhetnek az áldozat levelezéséhez, pénzügyi rendszereihez, vagy egyéb Passport-hitelesítést használó alkalmazásához.

A mintegy 200 millió Passport-azonosító közül a hiba csak azokat érinti, amelyeket a "titkos kérdés" funkció bevezetése előtt hoztak létre - a sebezhető azonosítók száma azonban valószínűleg igen tekintélyes lehet még így is.

Az eset igen kellemetlen, tekintve, hogy nem egészen két hónappal ezelőtt fedeztek fel egy másik súlyos biztonsági rést a Microsoft hitelesítő rendszerében. Az akkor viszonylag gyorsan foltozott hiba tetszőleges személy azonosítójának ellopását, és ezen keresztül identitásának felvételét tette lehetővé támadók számára a Passport rendszerben.

Frissítés: a Microsoft a hiba nyilvánosságra kerülését követő 24 órán belül foltozta a biztonsági rést, így az a továbbiakban nem használható már ki.