Серьезнейшая дыра обнаружена в защите Passport — одном из краеугольных камней в основании грядущих широкомасштабных веб-сервисов корпорации Microsoft.

Пользовательские учетные записи Passport играют роль центральных хранилищ персональной информации — имен и дат рождения, почтовых адресов и номеров кредитных карт, паролей доступа к другим веб-сервисам. Такое «единое удостоверение личности Интернет-пользователя» позволяет получать удобный доступ к различным сайтам (партнерам Passport), используя один и тот же пароль, а также не вводить всякий раз при совершении очередной онлайновой покупки свои персональные данные (номер кредитной карты, адрес, по которому нужно доставить товар, и т. п.). В настоящее время в службе аутентификации Microsoft зарегистрировано больше 200 миллионов учетных записей. Однако выяснилось, что с помощью несложных манипуляций сведущие злоумышленники на протяжении семи последних месяцев имели возможность практически беспрепятственного доступа к личным данным клиентов Passport — требовалось лишь знать пользовательское имя жертвы в системе.

Лазейка заключалась в следующем. Клиент Passport, забывший пароль, может восстановить доступ к своему аккаунту, правильно ответив на ряд вопросов о введенных при регистрации персональных данных. Однако выяснилось, что существует и другой способ сброса пароля, при котором ничего, кроме имени пользователя, знать не нужно. Достаточно лишь обратиться к серверу Passport по специальному URL-адресу, указав в нем имя нужного аккаунта, команду на сброс пароля (reset) и новый почтовый адрес. На этот последний адрес сервер отправлял ссылку, перейдя по которой, злоумышленник получал возможность изменить пароль доступа к аккаунту жертвы (и далее пользоваться аккаунтом по своему усмотрению) или скопировать всю интересующую его информацию.

Когда об этой чудовищной слабости в защите системы, широко рекламируемой как надежная и безопасная, узнал пакистанец Мухаммад Файзал Рауф Данка (Muhammad Faisal Rauf Danka), директор по технологиям небольшой Интернет-фирмы Gem Net, он отправил по разным адресам Microsoft в общей сложности десяток писем с подробным описанием уязвимости. Однако ни на одно из предупреждений реакции не последовало. Тогда Данка опубликовал «компромат» в рассылочном листе по компьютерной безопасности Full Disclosure, и лишь после этого спецы Microsoft зашевелились: спустя три с половиной часа смена паролей была заблокирована.

Для гигантской компании, на всех углах трубящей, что «безопасность — один из ее главных приоритетов», конфуз с Passport, конечно, — сильнейший удар по репутации. Но теоретически может случиться так, что эта история нанесет и чувствительный урон финансам Microsoft. Дело в том, что в августе прошлого года, после скандала с выявлением не менее серьезной уязвимости, корпорация подписала документ, в котором обещала Федеральной торговой комиссии США (FTC) не делать скоропалительных заявлений о надежности защиты Passport и одновременно предпринять шаги к укреплению своей системы. В том же документе сказано, что если обязательства не будут соблюдаться, то корпорации придется заплатить штраф в 11 тысяч долларов за каждое нарушение. И если сейчас FTC все же решит оштрафовать Microsoft, то потенциально, с учетом численности клиентов Passport, это может обойтись в астрономическую сумму — более 2 триллионов долларов. Хотя, конечно, государство вряд ли захочет топить Microsoft, так что до триллионных штрафов дело, скорее всего, не дойдет.