Duas falha de segurança no sistema de autenticação Passport da Microsoft colocaram os dados financeiros de consumidores à disposição de um potencial atacante, levando a gigante de software a remover uma das suas principais funcionalidades de modo a evitar que esse tipo de informação fosse roubada, de acordo com um representante da empresa citado pela C|NET.
O caso foi iniciado no dia 31 de Outubro por Marc Slemko, um programador open-source de Seattle que demonstrou numa página da Web que o Wallet - serviço do Passport que guarda os dados utilizados em sites de comércio electrónico - tinha falhas de segurança graves e avisou a Microsoft do sucedido.
A empresa decidiu encerrar o serviço no dia dois, quinta-feira, minando desta forma os seus recentes esforços no sentido de convencer os consumidores que tinha uma atitude séria face à segurança. Por outro lado, a credibilidade das afirmações realizadas pela empresa de que o Passport pode manter os dados financeiros dos seus clientes seguros também foi posta em causa.
Slemko explica como funciona a falha de segurança. Ao enviar a um utilizador do Hotmail uma mensagem, um atacante pode em muito casos obter acesso total aos dados financeiros do receptor contidos no serviço Wallet do Passport alojado nos servidores da Microsoft. O mecanismo tira vantagem de duas vulnerabilidades designadas de cross-scripting que surgem quando a segurança das comunicações entre as aplicações - por exemplo, um site de Webmail e outro financeiro - não é completamente examinada.
O objectivo de Slemko era combinar essas falhas com o facto de, até 15 minutos depois de alguem se registar no Hotmail, a autorização dessa pessoa abranger todos os outros serviços Passport, incluindo o Wallet. Deste modo, se uma pessoa ler o email enviado pelo atacante no prazo de 15 minutos depois de se ter registado, o código inserido na menssagem recolhe todos os cookies - bits de código que identificam o utilizador - da pessoa. O atacante pode então utilizar esses cookies para aceder a outros serviços dentro desse período de 15 minutos.
O programador diz que chegou a estas conclusões em cerca de 30 minutos, o que, na sua opinião, demonstra a extensão dos problemas que a Microsoft precisa de ultrapassar. "É bastante claro que ou a Microsoft não dispõe de recursos suficientes para garantir adequadamente a segurança dos seus serviços e software, que tem conhecimento dos problemas mas decidiu que tentar conquistar quota de mercado era mais importante que a segurança dos seus utilizadores", afirmou no site.
A Microsoft admitiu posteriormente os problemas de segurança, considerando que a análise de Slemko das vulnerabilidades era válida. Na quinta feira passada, a Microsoft removeu temporariamente a funcionalidade Express Purchase ligada ao Passport Wallet, anulando o perigo de os consumidores verem a sua informação roubada.
No dia a seguir, o Passport Wallet estava de novo online, mas desta vez com um período de autenticação de um a dois minutos, que exige que a pessoa volte outra vez a registar-se passado esse período. Adam Sohn, gestor de produto da plataforma .NET, citado pela C|NET, realçou que não existem provas de que alguém tenha tirado partido deste buraco de segurança. Acrescentou também que o ataque não teria tido êxito se o cliente do Passport estivesse a utilizar o Windows XP.
Notícias Relacionadas:
2001-10-23 - Windows XP é a arma da Microsoft para conquistar o mercado de serviços para a Web
2001-09-26 - Sun prepara concorrente ao serviço Passport da Microsoft
2001-09-21 - Microsoft abre Passport a empresas concorrentes
2001-08-16 - Grupos de privacidade voltam a criticar Windows XP e Passport
2001-04-10 - Microsoft altera termos de utilização de Passport
Pergunta do Dia
Em destaque
-
Multimédia
20 anos de Halo 2 trazem mapas clássicos e a mítica Demo E3 de volta -
App do dia
Proteja a galáxia dos invasores com o Space shooter: Galaxy attack -
Site do dia
Google Earth reforça ferramenta Timelapse com imagens que remontam à Segunda Guerra Mundial -
How to TEK
Pesquisa no Google Fotos vai ficar mais fácil. É só usar linguagem “normal”
Comentários