Грешка в програмата за защита на базата с данните на потребителите прави достъпна финансовата информация на всички, които използват Microsoft Passport.

Софтуерният гигант призна за грешката и временно закри услугата. Програмистът Марк Слемко, привърженик на open-source движението, е демонстрирал до какво може да доведе серизозният пробив в защитната функция Wallet, която е част от Passport-серзива. Чрез Wallet се съхраняват данните на клиентите, използвани при електронни транзакции.

“С проблема в Wallet компанията може лесно да се справи, но пълното изчистване на Passport-сервиза от грешки не е лесна задача”, е заявил Слемко. Технологията Passport е ключова точка от стратегията Microsoft .Net. Чрез нея се идентифицира всеки потребител, който иска да използва уеб ресурсите чрез софтуера на Microsoft. Направена е с цел защита личните данни на потребителите; особено на бизнес клиентите и тези, които осъществяват финансови операции онлайн.

Прблемът със защитата се дължи сновно на две т.нар. cross-scripting грешки, заради които трансферът на информация между различните уеб приложения като пощенски кутии и сайтове за електронна търговия не е добре защитена. След като клиентът се регистрира в Hotmail, данните му, идентифициращи го като реален потребител, преминават в другите подразделения на Passport-сервиза.

Този процес може да отнеме до 15 мин. През това време cookies с идентификационните данни на потребителя са незащитени. За 15 мин. всеки хакер може с тяхна помощ да получи достъп до име, номер на кредитни карти и защитни пароли на някой клиент.

“За да се сетя за това на мен лично ми отне 30 минути, но аз самият съм имал достъп до конфиденциални данни”, твърди програмистът.

Microsoft е признала за проблема със защитата, като е нарекла анализа на Слемко “правомерен”. Компанията временно е закрила серзива Express Purchase, базиран на Passport Wallet, за да предотврати възможността за кражба на информация. Междувременно ще съкрати и времето за автоматична аутентификация до една минута. Софтуерният гигант уверява, че засега никой все още не се е възползвал от грешката, но не пропусна да увери, че потребителите на Windows XP могат да не се тревожат за данните си.