158918

MSN-Passport-Dienst: Kreditkarten-Daten einsehbar

05.11.2001 | 13:06 Uhr |

Ein Sicherheitsloch im MSN-Passport-Dienst hat es einem Programmierer ermöglicht, Kreditkarten-Informationen der Benutzer einzusehen. Als Reaktion hat Microsoft die in Passport integrierte elektronische Geldbörse bis auf weiteres deaktiviert.

Ein Sicherheitsloch im MSN -Passport-Dienst hat es einem Programmierer ermöglicht, Kreditkarten-Informationen der Benutzer einzusehen. Als Reaktion hat Microsoft die in Passport integrierte elektronische Geldbörse bis auf weiteres deaktiviert, wie unser Schwestermagazin Tecchannel berichtet.

Bei Passport handelt es sich um einen Authentifizierungs-Service, über den nach einmaliger Anmeldung ein sicherer und bequemer Zugriff auf Microsoft-eigene Angebote und Dienste wie MSN-Network und .Net möglich sein soll. Dazu speichert der Redmonder Software-Konzern sensible Benutzerdaten wie Kreditkartennummern und Passwörter auf einem zentralen Server.

Bei Microsoft-Kooperationspartern wie Ebay und  Starbucks können Benutzer zudem über das "electronic wallet" genannte Passport-Feature via Internet einkaufen. Etwa zwei Millionen der insgesamt 165 Millionen Passport-Mitglieder nutzen die elektronische Geldbörse.

Dem amerikanischen Programmierer Marc Slemko gelang es, die mittels Passport gesendeten Benutzerdaten abzufangen. Sobald sich ein Benutzer anmelde und einen Einkauf tätigen will, ist für eine Dauer von fünf Minuten ein Zugriff auf dessen Daten möglich. Das von Slemko geschriebene Programm nutzt eine cross-site scripting getaufte Sicherheitsschwäche aus. Sie ermöglicht es, innerhalb der fünfminütigen Zeitspanne sämtliche gesendeten Benutzerinformationen abzufangen. Auf seiner Website beschreibt der Programmierer seine Vorgehensweise sowie die von ihm offen gelegten Sicherheitslücken im Detail.

Microsoft will das offen gelegte Leck schließen. Bis der Fehler behoben ist, wird das Feature der elektronischen Geldbörse nicht verfügbar sein.

Microsoft fordert bewussteren Umgang mit Sicherheitslücken-Infos (PC-WELT Online, 18.10.2001)

Microsoft überarbeitet Sicherheits-Bulletins (PC-WELT Online, 17.10.2001)

Microsoft schließt drei Sicherheitslücken im IE (PC-WELT Online, 11.10.2001)

0 Kommentare zu diesem Artikel
158918