Duas falha de segurança no sistema de autenticação Passport da Microsoft colocaram os dados financeiros de consumidores à disposição de um potencial atacante, levando a gigante de software a remover uma das suas principais funcionalidades de modo a evitar que esse tipo de informação fosse roubada, de acordo com um representante da empresa citado pela C|NET.



O caso foi iniciado no dia 31 de Outubro por Marc Slemko, um programador open-source de Seattle que demonstrou numa página da Web que o Wallet - serviço do Passport que guarda os dados utilizados em sites de comércio electrónico - tinha falhas de segurança graves e avisou a Microsoft do sucedido.



A empresa decidiu encerrar o serviço no dia dois, quinta-feira, minando desta forma os seus recentes esforços no sentido de convencer os consumidores que tinha uma atitude séria face à segurança. Por outro lado, a credibilidade das afirmações realizadas pela empresa de que o Passport pode manter os dados financeiros dos seus clientes seguros também foi posta em causa.



Slemko explica como funciona a falha de segurança. Ao enviar a um utilizador do Hotmail uma mensagem, um atacante pode em muito casos obter acesso total aos dados financeiros do receptor contidos no serviço Wallet do Passport alojado nos servidores da Microsoft. O mecanismo tira vantagem de duas vulnerabilidades designadas de cross-scripting que surgem quando a segurança das comunicações entre as aplicações - por exemplo, um site de Webmail e outro financeiro - não é completamente examinada.



O objectivo de Slemko era combinar essas falhas com o facto de, até 15 minutos depois de alguem se registar no Hotmail, a autorização dessa pessoa abranger todos os outros serviços Passport, incluindo o Wallet. Deste modo, se uma pessoa ler o email enviado pelo atacante no prazo de 15 minutos depois de se ter registado, o código inserido na menssagem recolhe todos os cookies - bits de código que identificam o utilizador - da pessoa. O atacante pode então utilizar esses cookies para aceder a outros serviços dentro desse período de 15 minutos.



O programador diz que chegou a estas conclusões em cerca de 30 minutos, o que, na sua opinião, demonstra a extensão dos problemas que a Microsoft precisa de ultrapassar. "É bastante claro que ou a Microsoft não dispõe de recursos suficientes para garantir adequadamente a segurança dos seus serviços e software, que tem conhecimento dos problemas mas decidiu que tentar conquistar quota de mercado era mais importante que a segurança dos seus utilizadores", afirmou no site.



A Microsoft admitiu posteriormente os problemas de segurança, considerando que a análise de Slemko das vulnerabilidades era válida. Na quinta feira passada, a Microsoft removeu temporariamente a funcionalidade Express Purchase ligada ao Passport Wallet, anulando o perigo de os consumidores verem a sua informação roubada.



No dia a seguir, o Passport Wallet estava de novo online, mas desta vez com um período de autenticação de um a dois minutos, que exige que a pessoa volte outra vez a registar-se passado esse período. Adam Sohn, gestor de produto da plataforma .NET, citado pela C|NET, realçou que não existem provas de que alguém tenha tirado partido deste buraco de segurança. Acrescentou também que o ataque não teria tido êxito se o cliente do Passport estivesse a utilizar o Windows XP.




Notícias Relacionadas:

2001-10-23 - Windows XP é a arma da Microsoft para conquistar o mercado de serviços para a Web

2001-09-26 - Sun prepara concorrente ao serviço Passport da Microsoft

2001-09-21 - Microsoft abre Passport a empresas concorrentes

2001-08-16 - Grupos de privacidade voltam a criticar Windows XP e Passport

2001-04-10 - Microsoft altera termos de utilização de Passport

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.