Benchmark Redakcija
Korisnici Microsoftovog sistema Passport će se iznenaditi kada čuju da je sistem visokog obezbeđenja, dizajniran da čuva poverljive podatke kao što su brojevi kreditnih kartica, bilo relativno lako obiti sve do pre nekoliko sati. Microsoft je zbog toga trenutno blokirao eksploataciju. Hakovanje je vršeno slanjem iskvarenog URL-a i bilo je toliko jednostavno, da je prosto neverovatno da se to tek sada otkrilo. Bilo je dosta slučajeva da korisnici Passpord servisa prijave krađu identiteta, ali pretpostavljalo se da su ljudi koristili nesigurne lozinke. Međutim, ispostavilo se da to nije bio slučaj. Smatranje da je Passport apsolutno siguran način logovanja na intenet sajtove i, recimo, kupovinom stvari jednim klikom – ispostavilo se netačnim. Rupa u sistemu se ogledala u Password retrival servisu (servis za povraćaj lozinke). Štaviše, taj sistem je prikazivao i originalnu e-mail adresu korisnika i adresu na koju korisnik želi da pošalje zahtev za novu lozinku. Sve što je “haker” morao da zna je Username korisnika i jednostavno pošalje novu lozinku sebi na e-mail 🙂 Možete samo zamisliti obim ovakvog bug-a. Ovde nije bila u pitanju samo privatnost korisnika i njihova e-mail adresa, već i njihove finansije…
Izvor : The Inquierer
Kritični bug pronađen u Microsoftovom Passport-u
Korisnici Microsoftovog sistema Passport će se iznenaditi kada čuju da je sistem visokog obezbeđenja, dizajniran da čuva poverljive podatke kao što su brojevi kreditnih kartica, bilo relativno lako obiti sve do pre nekoliko sati. Microsoft je zbog toga trenutno blokirao eksploataciju. Hakovanje je vršeno slanjem iskvarenog URL-a i bilo je tol
