美国东部时间5月8日(北京时间5月9日)消息,微软公司的Passport服务中存在一个严重的安全漏洞,其用户的帐户,包括一些个人信息和信用卡卡号等,都有可能被黑客获取。
这一漏洞存在于Passport的密码恢复系统中,攻击者可以在知道用户名的情况下改变该用户的帐户密码。攻击的简单性和可能泄漏的资料的机密性使得这一漏洞的发现变得非常关键。一名自称是巴斯斯坦安全咨询顾问名为穆罕莫德-法沙尔-拉夫-丹卡的人在安全邮件清单Full Disclosure上提示了漏洞的存在,他说:“这是一个在他们的网络应用逻辑中存在的错误,而且存在了很长时间,我是最近才发现的。”
Passport服务已经成为了微软未来网络服务的一个技术招牌,而其帐户中储存的则是用户的在线资料,其中包括一些个人信息,诸如生日、信用卡号等。此次发现的漏洞可以允许用户利用URL通过Passport服务器进行密码重置。丹卡称自己也是在朋友的密码被窃之后才发现这一漏洞的。
微软对此次漏洞反应迅速,在发现之后三个多小时内就采取了处理,公司发言人希恩-萨德沃尔说:“我们已经关闭了所有重置密码的功能”。
|