A Microsoft legutóbbi botlása igen sokba kerülhet a vállalatnak: a Passport szolgáltatás hibája a vállalatnak akár 2200 milliárd dollárjába is kerülhet. A cég programozói rohamtempóban készítették el a javítást és folytatják a kihasználható hibák keresését, de a káresetek akár már meg is történhettek.
Az Egyesült Államok Szövetségi Kereskedelmi Bizottsága (Federal Trade Commission, FTC) tavaly azt követelte a Microsofttól, hogy tökéletesítse a Passport biztonságát, máskülönben esetenként tizenegyezer dolláros büntetést szabhatnak ki rá. A redmondi vállalat tavaly augusztusban megígérte, hogy “keményen fog dolgozni” a felhasználók adatainak védelmén, és a szabályozó testület megnyugtatására elindította a Trustworthy Computing (magyarul: megbízható számítástechnika) névre keresztelt kezdeményezést.
A kérdés most az, hogy a Microsoft megszegte-e ígéretét, amikor tavaly szeptemberben megváltoztatta a Passport rendszerét és így bekerült a támadható jelszó-helyreállító funkció. Az FTC kivizsgálja az esetet, és amennyiben hibásnak találja a Microsoftot, a 200 millió felhasználó érintettsége okán elméletileg 2200 milliárd dolláros bírság megfizetésére is kötelezheti a vállalatot. “Ha úgy találjuk, hogy nem tették meg az indokolt biztonsági intézkedéseket az információk védelmének érdekében, akkor az a határozat megszegését jelenti” – mondta Jessica Rich, az FTC munkatársa a The Registernek.
A hibára négy perccel az után derült fény, hogy Muhammad Faisal Rauf Danka számítógépes biztonságtechnikai kutató a Passporton kezdett el dolgozni. A szakértő bármilyen Passport előfizetést el tudott érni, ha az “emailpwdreset” parancsot begépelte egy olyan URL-be, amelyben szerepelt az előfizetéshez tartozó e-mail címe, és az a cím, amelyre a helyreállító üzenetet lehet küldeni. Számos ember állítja, hogy sikeresen kihasználta a hibát saját előfizetésén, írta a The Register.
A Microsoft tegnap este nyolc órakor küldte ki figyelmeztető levelét és három órával később már kijavította a hibát. A vállalat komolyan aggódik a probléma miatt, mondta el a Cnetnek Adam Sohn, a Microsoft termékmenedzsere. “Élünk és tanulunk. Nyilvánvalóan komolyan megvizsgáljuk, ha valamit egy nem szabványos csatornán küldenek, és szükség esetén megvizsgáljuk.” – mondta Sohn. Élni és tanulni? Vajon kivárhatjuk-e azt, hogy a Microsoft lassan elkússzon a biztonságos kódok irányába, vagy meg kell tanulnunk a jelszavak védelme nélkül élni? – tette fel a kérdést a The Register.