Neue Lücke in Microsofts Passport
Softwarehersteller Microsoft hat nach eigenen Angaben eine weitere Sicherheitslücke in seinem Authentifizierungsdienst Passport geschlossen.
Die Lücke ermöglichte Angreifern, Accounts, die vor mehr als vier Jahren angelegt wurden, zu knacken. MS-Senior-Manager Jeff Jones glaubt jedoch nicht, dass Passport-Accounts gestohlen wurden.
Er schätzte die Zahl der potenziellen Opfer zudem sehr gering ein, wollte jedoch keine Angaben zu genauen Zahlen machen.
Der Konzern erfuhr nach eigenen Angaben durch einen Forumseintrag von der Lücke. Der Verfasser der Meldung, ein nach eigenen Angaben Sicherheitsexperte namens Victor Manuel Alvarez Castro aus Mexiko, soll demnach bereits mehrmals und erfolglos versucht haben, Microsoft per E-Mail zu kontaktieren.
Anfang Mai erst hatte ein pakistanischer Computer-Experte herausgefunden, dass durch die Eingabe einer speziellen URL, welche die Phrase "emailpwdreset" beinhaltete, jeder beliebige Account übernommen werden kann.
Passport-Lücke könnte MS Billionen kostenNoch kein Entscheid der FTC
Die zuletzt bekannt gewordene Sicherheitslücke im Passport-Service könnte Microsoft teuer zu stehen kommen. Die US-Handelsbehörde Federal Trade Commission [FTC] hat sich des Vorfalls angenommen, ist jedoch noch zu keinem Urteil über etwaige Zahlungen gekommen.
Microsoft hatte im vergangenen Jahr einen Vergleich mit der Behörde über die Sicherheit der Passport-Daten geschlossen. Damals hatte sich das Unternehmen verpflichtet, keine falschen Angaben über die Sicherheit der Daten im Passport-System zu machen.
Eine Untersuchung könnte zu einer Strafe von 11.000 USD pro festgestellten Verstoß gegen das Abkommen mit der FTC führen. Bei 200 Mio. Passport-Usern summiert sich die mögliche Schadenssumme für Microsoft auf bis zu 2,2 Billionen USD.
