Sicherheitslücke in Microsoft Passport

Ein Sicherheitsloch im MSN-Passport-Dienst erlaubte es einem Programmierer, Kreditkarten-Informationen der Benutzer einzusehen. Als Reaktion hat Microsoft die in Passport integrierte elektronische Geldbörse bis auf weiteres deaktiviert.

Bei Passport handelt es sich um einen Authentifizierungs-Service, über den nach einmaliger Anmeldung ein sicherer und bequemer Zugriff auf Microsoft-eigene Angebote und Dienste wie MSN Network und .Net möglich sein soll. Dazu speichert der Redmonder Software-Konzern sensible Benutzerdaten wie Kreditkartennummern und Passwörter auf einem zentralen Server.

Bei Microsoft-Kooperationspartern wie eBay und Starbucks können Benutzer zudem über das electronic wallet genannte Passport-Feature via Internet einkaufen. Etwa 2 Millionen der insgesamt 165 Millionen Passport-Mitglieder nutzen die elektronische Geldbörse.

Dem amerikanischen Programmierer Marc Slemko gelang es, die mittels Passport gesendeten Benutzerdaten abzufangen. Sobald sich ein Benutzer anmelde und einen Einkauf tätigen will, ist für eine Dauer von fünf Minuten ein Zugriff auf dessen Daten möglich. Das von Slemko geschriebene Programm nutzt eine cross-site scripting getaufte Sicherheitsschwäche aus. Sie ermöglicht es, innerhalb der fünfminütigen Zeitspanne sämtliche gesendeten Benutzerinformationen abzufangen. Auf seiner Webseite beschreibt der Programmierer seine Vorgehensweise sowie die von ihm offen gelegten Sicherheitslücken im Detail.

Microsoft will das offen gelegte Leck schließen. Bis der Fehler behoben ist, wird das Feature der elektronischen Geldbörse nicht verfügbar sein. (mma)