Güvenlik açığı Full-Disclosure e-mail listesine, saldırganların merhametine teslim edilen milyonlarca Hotmail kullanıcısının şahsi bilgisi ile birlikte gönderilmişti.
Açık yamanmadan önce, saldırgana kullanıcının şifresini belli bir değere çevirmesini gerektiren bir web-tabanlı senaryo kullanmasına yol veriyordu. Şifre bu değere değiştirildiğinde ise, saldırgan hack edilmiş bu hesabın kontrolünü eline geçirmiş oluyordu.
Bu sorun, Microsoft’un tek-adımlı-alışveriş yani içerik erişimi ya da alışveriş gibi online altivitelerde kullanılan tüm şahsi bilgilerin saklandığı sistem olan Passport’un gelişmesinde yeni bir engel olarak ortaya çıktı. Microsoft,yakın zamana kadar güvenlik konusunda büyük çabalar harcadı ama sorun çözüleceğine hergeçen gün daha maliyetli hale geliyor.
Passport güvenliği konusunda Microsoft’a yaptırım uygulayan Amerikan Federal Ticaret Komisyonu (FTC) yetkilileri, bu son açıkla ilgili bir yorum yapmaktan kaçındılar.
FTC Finans konularındaki direktör yardımcısı Jessica Rich, “şirketlere ugguladıkları yaptırımları düzenli olarak gözlediklerini” belirterek düzelme olmadığı takdirde her bir olay için 11.000 $’a kadar ceza verebileceklerini hatırlattı.
FTC ile Microsoft arasındaki Passport güvenliği ile ilgili anlaşma yapılmıştı. Associated Press’e göre, bu anlaşma ile Microsoft, “tüketicilerin kişisel bilgilerini korumak için” gereken tedbirleri almayı ya da her olay başına 11.000 $ ödemeyi kabul etmişti.
Microsoft AP’e yaptığı açıklamada bu açığın 200 milyon hesabı etkilediğini bildirmişti. Yani, her hesap sahibi ayrı bir şikayet yapsa, Microsoft’un 2.2 trilyon $ potansiyel ceza ödeme riski bulunuyor.
Microsoft .NET Passport, Microsoft’un e-ticaret, e-mail ya da diğer internet uygulamalarına tek bir ID (kimlik) ile erişebilmesini sağlayan uygulama. Açığın önemli olmasının nedeni de, e-ticaret işlemlerinde de kullanılabiliyor olması.
Passport hesaplarında kredi kart bilgisi gibi şahsi bilgilerin bulunması nedeniyle bu açığın hırsızlar tarafından zorlanması çok mümkün. Şu ana kadar herhangi bir kullanıcının bu açıktan zarar görüp görmediği bilinmiyor. Ama çok sayıda saldırı olduğu da biliniyor.
Passport servisi son olarak geçtiğimiz ocak ayında güvenliğin arttırılması ile ilgili bir modifikasyondan geçirilmişti.
Kaynak : 