微软公司承认,保障网络购物的“护照”(passport)技术出现严重的设计瑕疵,导致 黑客能藉此窃取使用者的信用卡号码与个人资料。
微软表示,注册使用以“护照”技术为基础的电子钱包的顾客约两百万人,这些人都有可能受害,但目前并未发现资料遭窃的证据。微软从上月卅一日起暂时关闭该项服务,以便进行网络修复和测试,这也为将近七十个支援微软“速购”技术的购物网站买主带来不便。
西雅图网络安全研究员史兰科上周首度发现这个问题,并随即通知微软工程部。史兰科表示,他发现一种欺骗“护照”主机将其他人的电子钱包资料传送给他的方法。在示范过程中,史兰科寄发一封含有特定连结的电子邮件,收信人只要点下信中的连结,史兰科就可取得他们的钱包和信用卡资料。
微软表示,这项缺失相当重大,因为“护照”是微软未来最重要的科技服务,包括,Net 整体策略的一部分。藉由这项服务,消费者能将信用卡号或医疗纪录等个人资料储存在微软或其他组织的资料库内,以便在任何时刻取用。
截至目前为止,已经有两百万人注册使用“护照”,而几乎所有视窗XP的用户都无法避免使用到相关的服务。微软发言人索恩表示:“我们不相信顾客的资料有遭受任何损害,我们知道必须建立并赢得消费者对‘护照’的信任才能成功,我们正在朝正确的方向进行。”微软说,他们已经解决这些问题,防止类似的线上假冒事件,并采取进一步措施改善系统安全。
|