Scoperta una coppia di gravi falle nel .Net Passport: Microsoft finisce nel mirino della Federal Trade Commission, mentre gli utenti del servizio rischiano di perdere il controllo dei propri account sui siti convenzionati.
E' polemica attorno a due vulnerabilità critiche presenti nel servizio .Net Passport di Microsoft, scoperte da PakCERT e dalla stessa annunciate su Bugtraq, oltre che sul proprio sito.
Nell'articolo si legge che, sfruttando le falle in questione, l'attaccante può modificare le password e altri dati di conferma dell'identità dei sottoscrittori di account Passport, di fatto sottraendone loro il controllo.
La gravità della situazione appare evidente quando si consideri che .Net Passport è un servizio, offerto da Microsoft per facilitare l'accesso ai servizi web, che permette all'utente titolare di un account di accedere, fornendo una sola volta le proprie credenziali, a tutti i servizi da lui sottoscritti in Rete, purché "affiliati" a Passport. In pratica, sottrarre il controllo di un account Passport al legittimo titolare significa non solo impedire a questi di utilizzare i servizi online sottoscritti, ma anche -e soprattutto- procurarsi quanto occorre per impersonarne l'identità.
Online banking e posta elettronica sono solo due esempi dei servizi per i quali circa 200 milioni di utenti Passport si trovano nella scomoda necessità di prendere una drastica decisione: chiudere le proprie sottoscrizioni e rinunciare ai servizi o rischiare di perderne il controllo? Molte domande, inoltre, attendono una risposta certa. E' sufficiente chiudere soltanto l'account di Passport? Il pericolo esiste ancora? C'è modo di sapere se i propri dati siano stati carpiti e le tracce della malversazione cancellate?
I tecnici di Redmond hanno eliminato la vulnerabilità dai propri sistemi, ma, al momento, le notizie circa l'accertamento dei danni eventualmente subiti dagli utenti Passport è ancora confusa. Di qui la polemica. Microsoft ha dovuto ammettere l'esistenza del problema a seguito della diffusione della notizia, venendosi così a trovare in una posizione doppiamente scomoda.
L'ira dei propri clienti è una brutta gatta da pelare, ma ciò che Mr. Gates teme ancora di più è la salatissima multa che potrebbe essergli comminata dalla Federal Trade Commission, la quale, già in passato, aveva minacciato una sanzione pari a 11.000 dollari per ogni violazione accertata nella sicurezza del servizio Passport. Se il numero di account compromessi dovesse rivelarsi elevato, Microsoft si vedrebbe costretta a sborsare una somma stratosferica. Se si considera che la famosa iniziativa Trustworthy Computing fu lanciata, in pompa magna, proprio per placare le ire della FTC, il risultato non è assolutamente male.
Morale: mai affidare dati sensibili a chi non goda, riguardo la sicurezza dei propri sistemi, di una fama assolutamente limpida. E, anche in questo caso, pensarci su due volte. Anzi, tre. Prima.
fonte: Zeus News
E' polemica attorno a due vulnerabilità critiche presenti nel servizio .Net Passport di Microsoft, scoperte da PakCERT e dalla stessa annunciate su Bugtraq, oltre che sul proprio sito.
Nell'articolo si legge che, sfruttando le falle in questione, l'attaccante può modificare le password e altri dati di conferma dell'identità dei sottoscrittori di account Passport, di fatto sottraendone loro il controllo.
La gravità della situazione appare evidente quando si consideri che .Net Passport è un servizio, offerto da Microsoft per facilitare l'accesso ai servizi web, che permette all'utente titolare di un account di accedere, fornendo una sola volta le proprie credenziali, a tutti i servizi da lui sottoscritti in Rete, purché "affiliati" a Passport. In pratica, sottrarre il controllo di un account Passport al legittimo titolare significa non solo impedire a questi di utilizzare i servizi online sottoscritti, ma anche -e soprattutto- procurarsi quanto occorre per impersonarne l'identità.
Online banking e posta elettronica sono solo due esempi dei servizi per i quali circa 200 milioni di utenti Passport si trovano nella scomoda necessità di prendere una drastica decisione: chiudere le proprie sottoscrizioni e rinunciare ai servizi o rischiare di perderne il controllo? Molte domande, inoltre, attendono una risposta certa. E' sufficiente chiudere soltanto l'account di Passport? Il pericolo esiste ancora? C'è modo di sapere se i propri dati siano stati carpiti e le tracce della malversazione cancellate?
I tecnici di Redmond hanno eliminato la vulnerabilità dai propri sistemi, ma, al momento, le notizie circa l'accertamento dei danni eventualmente subiti dagli utenti Passport è ancora confusa. Di qui la polemica. Microsoft ha dovuto ammettere l'esistenza del problema a seguito della diffusione della notizia, venendosi così a trovare in una posizione doppiamente scomoda.
L'ira dei propri clienti è una brutta gatta da pelare, ma ciò che Mr. Gates teme ancora di più è la salatissima multa che potrebbe essergli comminata dalla Federal Trade Commission, la quale, già in passato, aveva minacciato una sanzione pari a 11.000 dollari per ogni violazione accertata nella sicurezza del servizio Passport. Se il numero di account compromessi dovesse rivelarsi elevato, Microsoft si vedrebbe costretta a sborsare una somma stratosferica. Se si considera che la famosa iniziativa Trustworthy Computing fu lanciata, in pompa magna, proprio per placare le ire della FTC, il risultato non è assolutamente male.
Morale: mai affidare dati sensibili a chi non goda, riguardo la sicurezza dei propri sistemi, di una fama assolutamente limpida. E, anche in questo caso, pensarci su due volte. Anzi, tre. Prima.
fonte: Zeus News
