Microsoft sluit Passport na ontdekking lek

Gebruikers kwetsbaar eerste vijftien minuten na login Hotmail

05 november 2001 | Jamie Biesemans Net op het moment dat Microsoft via Windows XP zijn best doet om Passport te promoten, is er een ernstig lek opgedoken in de elektronische identificatiedienst. Als daarvan heeft het softwarebedrijf donderdag een deel van de dienst afgesloten. Financiële gegevens van gebruikers bleken niet veilig.

De lek werd ontdekt door de open-bronprogrammeur Marc Slemko, die volgens eigen zeggen ongeveer dertig minuten 'brainstorming' nodig had. Slemko noemt de zwakheid die hij ontdekte gemakkelijk op te lossen, maar zegt dat Passport nog tekortkomingen bevat die moeilijk te verbeteren zijn. Nieuwsdienst Wired maakte als eerste melding van het feit.

Met Passport wil Microsoft de gebruiker een soort elektronische portefeuille bieden waarin identificatie- en financiële gegevens verzameld zijn. Zo zou één login volstaan om van verschillende diensten gebruik te maken, van e-commercesites tot Microsofts eigen Hotmail-dienst. Passport is op zijn beurt een sleutelcomponent in de toekomstige .Net-diensten van Microsoft.

Telkens als een gebruiker inlogt bij een site die Passport gebruikt, wordt de identiteit bij speciale Passport-servers van Microsoft gecheckt. Als de login klopt, geeft de Passport-dienst groen licht en indien nodig worden gegevens zoals creditcardnummers doorgestuurd. Het idee is dat de gebruiker slechts één keer bij de aanmaak van de Passport gevoelige informatie hoeft in te voeren. Daarna blijven de gegevens gecentraliseerd en veilig op de Passport-servers.

Maar het is juist via Hotmail dat hackers toegang kunnen krijgen tot de inhoud van de Passport-portefeuille. Door een speciaal opgestelde mail die eigenlijk twee zwakheden combineert naar een Hotmail-gebruiker te sturen is het mogelijk om via een achterdeur in de beveiligde Passport-servers in te breken.

Dit kan omdat in de vijftien minuten nadat iemand is ingelogd in Hotmail - hetgeen via Passport gebeurt - de toegang naar de portefeuille open blijft. De relevante toegangsinformatie zit vervat in 'cookies' op de computer van de gebruiker, die dankzij een tweede zwakheid door een hacker te lezen zijn. Als een hacker met die informatie inlogt bij Passport, is het mogelijk dat hij gegevens zoals creditcardnummers kan bekijken.

Een vertegenwoordiger van Microsoft noemt de analyse van Slemko "correct", maar zegt dat er geen bewijs is dat er ooit misbruik is gemaakt van het lek. Voor de zekerheid is de Express Purchase-dienst van Passport donderdag even uit de lucht genomen. MS is nu van plan om de tijd dat de toegang naar de Passport portefeuille open blijft te verkorten naar één minuut. Het bedrijf voegt er aan toe dat de exploit niet kan worden uitgebuit op Windows XP.

Slemko geeft inderdaad toe dat het lek wellicht weinig gevolgen zal hebben, omdat "Passport niet veel gebruikt wordt, behalve voor Hotmail-rekeningen en personalisatie van andere Microsoft-sites". Maar hij blijft kritisch tegenover de dienst. "De gevolgen voor de veiligheid door het wijdverspreid gebruik van Passport als enige identificatiemiddel op het internet zijn ernstig." Lees meer artikels over : passport, slemko, .net

bron: ZDNet, Wired