Статья

Пользователи Microsoft Passport - 200 млн. потенциальных жертв

Интернет Наука Безопасность Бизнес Техника Цифровизация Бизнес-приложения Веб-сервисы

На прошлой неделе пакистанскими исследователями была обнаружена критическая уязвимость в системе Microsoft .Net Passport. Эта дыра может привести к печальным последствиям в том числе и для тех российских пользователей, которые держат свои почтовые ящики на Hotmail.com. Также могут пострадать пользователи российского сайта Microsoft, и других сайтов из числа партнеров Microsoft, которые используют сервис с обнаруженными уязвимостями.

Систему аутентификации Microsoft .Net Passport используют более 200 миллионов подписчиков во всем мире. Они доверяют системе защиты своих учетных записей, где, помимо персональных данных, также хранят номера кредитных карт и другую конфиденциальную информацию. Услугами вышеозначенной службы пользуются не только частные лица, но и довольно крупные игроки на рынке электронной коммерции. Поэтому заявление пакистанского исследователя Рауфа Данка (Muhammad Faisal Rauf Danka) о том, что с помощью определенной команды, введенной в строку запроса браузера, злоумышленник может получить доступ и изменить информацию, хранящуюся в любой учетной записи Microsoft Passport, стало громкой сенсацией.

В настоящее время, с возникновением угрозы изменения и несанкционированного использования злоумышленниками предоставленной для хранения информации, подписчики .Net Passport могут прекратить указывать о себе достоверные данные, что может вызвать волну недоверия между всеми участниками – пользователями Microsoft Passport, считает CNews Analytics.

«Все заявления руководства Microsoft о повышении защищенности своих продуктов пока далеки от истины, - считает эксперт одной из крупнейших российских компаний, работающих в сфере информационной безопасности. - Но если с дырами в обычных офисных приложениях еще можно как-то мириться, а к уязвимостям в серверных платформах уже многие привыкли, то обнаружение дыр в решениях, предназначенных для обеспечения безопасности, сводит все усилия Microsoft в этой области «на нет».

Мало того, сразу после обнаружения уязвимостей, два пакистанских исследователя из PakCERT сообщили о найденных проблемах в Microsoft, однако не получили от нее никакого ответа. После длительного ожидания PakCERT провел 8 мая пресс-конференцию об этих брешах и выпустил бюллетень с их описанием (без указания технических подробностей).

Необходимо напомнить, что еще в 1998 г. в службе Microsoft Hotmail была обнаружена критическая брешь. Возникла опасность раскрытия персональных данных 50 миллионов пользователей этой службы. В отличие от уязвимости, обнаруженной пять лет назад, новая брешь намного серьезнее. С ее помощью любой человек, знающий простые веб-команды, может получить доступ к системе, изменять или использовать в своих целях персональные данные любого пользователя.

Федеральная Торговая Комиссия США в связи с этими событиями имеет право наложить штраф на Microsoft в размере до $11 тысяч на одного пострадавшего пользователя, естественно, после поступления соответствующего заявления в суд. В таком случае общая сумма иска может достичь $2,2 трлн., хотя такая сумма штрафа, безусловно, может быть подвергнута судебному обжалованию ответчиком и значительно урезана.

В случае с обнаруженной уязвимостью в системе .NET Passport выходит, что такие основополагающие критерии безопасности, как конфиденциальность, аутентификация, целостность и надежность информации при осуществлении деятельности в интернете не выдерживают проверки на практике.

Специалисты по информационной безопасности полагают, что создание системы аутентификации мирового масштаба (а служба Microsoft Passport претендует именно на это звание), которую будут использовать множество других сайтов, в том числе и сайтов электронной коммерции, требует более внимательного подхода. «Здесь неприменимы правила разработки офисного ПО, которым славится Microsoft. Желание поскорее выйти на новые рынки может дорого обойтись пользователям, воспользовавшимся «дырявым» программным обеспечением», – отмечает наш источник.

Основная проблема электронного бизнеса в настоящее время – невозможность определить имеет ли пользователь, работающий с системой, право изменять или удалять созданную ранее информацию и действительно ли он является тем пользователем, за которого себя выдает. Если эти и другие проблемы информационной безопасности не будут решены в ближайшее время, может произойти новый удар по компаниям, работающим в секторе электронной коммерции.

Необходимо помнить о доверии, которое можно строить годами, а потерять в короткий промежуток времени. CNews Analytics считает, что до тех пор, пока компания Microsoft не докажет эффективность защиты данных подписчиков .Net Passport, не стоит ожидать притока желающих хранить информацию о себе и о своих кредитных картах в данной службе.

Роман Боровко / CNews.ru