Ошибка в «Паспорте»

В прошлую среду пакистанский студент Мухаммед Файзал Рауф Данка (Muhammad Faisal Rauf Danka) опубликовал в списке рассылки «Full Disclosure» описание ошибки в системе восстановления утерянных паролей сервиса Microsoft Passport, позволявшей, обладая лишь адресом электронной почты пользователя, получать полный доступ к хранимым в его эккаунте данным. Напомним, что в эккаунте системы Passport могут храниться не только личная информация, но и, например, номера кредитных карт. Кроме того, сам эккаунт может выступать «ключом» в совершении онлайновых покупок.

По словам Мухаммеда, он пытался сообщить об ошибке представителям Microsoft, используя, помимо прочих, электронный адрес security@microsoft.com, но ответа так и не получил. Адам Сон (Adam Sohn), представитель отвечающего за сервис Passport подразделения Microsoft, позже объяснил, что вышеуказанный адрес является общим ящиком для всех подразделений компании, занимающихся вопросами корпоративной безопасности, и прошло довольно много времени пока письмо попало к нужному адресату.

Microsoft поэтому действительно зашевелилась только после появления утром в среду на News.com новости, посвященной публикации в списке рассылки информации о большой проблеме безопасности в сервисе Passport. К вечеру среды Microsoft полностью отключила систему, в которой была обнаружена ошибка, и опубликовала на своем сайте посвященную ошибке заметку. А уже в четверг, как только ошибка была устранена, система восстановления паролей снова заработала в штатном режиме.

«Прелесть» ошибки в том, что это не уязвимость и не «дыра» в прямом смысле, а именно логическая ошибка программистов, создававших систему восстановления паролей для Passport. Чтобы воспользоваться ею, достаточно было знать e-mail пользователя, чей эккаунт вас заинтересовал, набрать правильно сконструированный URL в адресной строке браузера и нажать «ввод». Вуаля.

Согласно оценкам самой Microsoft, ошибка присутствовала в сервисе с сентября прошлого года, однако количество пострадавших от нее пока характеризуется как «весьма умеренное».

Надо, однако, отметить, что особенного выбора в описании ошибки у самой компании нет: по заключенному с Федеральной комиссией по торговле США соглашению, Microsoft может быть оштрафована за несоблюдение мер безопасности в своих продуктах и сервисах. Если расследование, о котором, правда, пока лишь только говорят, установит, что от ошибки могли пострадать все эккаунты пользователей Passport, то сумма штрафа потенциально способна достичь поднебесного размера в $2,2 триллиона.

Данил Гридасов