Архив

Ошибка в «Паспорте»

В прошлую среду пакистанский студент Мухаммед Файзал Рауф Данка (Muhammad Faisal Rauf Danka) опубликовал в списке рассылки «Full Disclosure» описание ошибки в системе восстановления утерянных паролей сервиса Microsoft Passport, позволявшей, обладая лишь адресом электронной почты пользователя, получать полный доступ к хранимым в его эккаунте данным. Напомним, что в эккаунте системы Passport могут храниться не только личная информация, но и, например, номера кредитных карт. Кроме того, сам эккаунт может выступать «ключом» в совершении онлайновых покупок.

По словам Мухаммеда, он пытался сообщить об ошибке представителям Microsoft, используя, помимо прочих, электронный адрес security@microsoft.com, но ответа так и не получил. Адам Сон (Adam Sohn), представитель отвечающего за сервис Passport подразделения Microsoft, позже объяснил, что вышеуказанный адрес является общим ящиком для всех подразделений компании, занимающихся вопросами корпоративной безопасности, и прошло довольно много времени пока письмо попало к нужному адресату.

Microsoft поэтому действительно зашевелилась только после появления утром в среду на News.com новости, посвященной публикации в списке рассылки информации о большой проблеме безопасности в сервисе Passport. К вечеру среды Microsoft полностью отключила систему, в которой была обнаружена ошибка, и опубликовала на своем сайте посвященную ошибке заметку. А уже в четверг, как только ошибка была устранена, система восстановления паролей снова заработала в штатном режиме.

«Прелесть» ошибки в том, что это не уязвимость и не «дыра» в прямом смысле, а именно логическая ошибка программистов, создававших систему восстановления паролей для Passport. Чтобы воспользоваться ею, достаточно было знать e-mail пользователя, чей эккаунт вас заинтересовал, набрать правильно сконструированный URL в адресной строке браузера и нажать «ввод». Вуаля.

Согласно оценкам самой Microsoft, ошибка присутствовала в сервисе с сентября прошлого года, однако количество пострадавших от нее пока характеризуется как «весьма умеренное».

Надо, однако, отметить, что особенного выбора в описании ошибки у самой компании нет: по заключенному с Федеральной комиссией по торговле США соглашению, Microsoft может быть оштрафована за несоблюдение мер безопасности в своих продуктах и сервисах. Если расследование, о котором, правда, пока лишь только говорят, установит, что от ошибки могли пострадать все эккаунты пользователей Passport, то сумма штрафа потенциально способна достичь поднебесного размера в $2,2 триллиона.

Данил Гридасов

Ошибка в «Паспорте»

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике