Neue Sicherheitslücke: Billionen-Strafe für MS?

Das Redmonder Softwarehaus wurde diese Woche von Muhammad Faisal Rauf Danka, einem pakistanischen Computerberater, über ein besonders gravierendes Sicherheitsleck im Authentifizierungsdienst Passport informiert. Allein mit der E-Mail-Adresse eines Anwenders sei es möglich, an die kompletten Daten von dessen Passport-Konto zu kommen [1], somit auch an Kreditkarteninformationen. Der gefährliche Fehler liegt in einer Funktion, die es erlaubt, bei vergessenem Passwort mittels E-Mail die fehlenden User-Daten anzufordern. Ein Angreifer könne die Microsoft-Antwort relativ einfach auf den eigenen Account umleiten und danach das Passwort des Opfers abändern, um sich in dessen Konto einzuloggen.

Microsoft hat das gefährliche Sicherheitsleck nach eigenen Angaben gestern gestopft. Wie viele der rund 200 Millionen Passport-Accounts schon gehackt wurden, ist nicht bekannt. Personen, denen es nicht mehr möglich ist, sich in den Dienst einzuloggen, könnten Opfer einer Attacke geworden sein, so der Softwareriese. Sie sollten unbedingt den .NET-Passport-Support [2] kontaktieren.

Die neu entdeckte Sicherheitslücke bedeutet aber nicht nur ein grosses Ärgernis für alle Passport-Anwender. Laut Reuters hat Microsoft einen Vergleich mit der FCT (Fair Trade Commission) geschlossen, der dem Softwarehaus pro Sicherheitsverstoss in ihrem Authentifizierungsdienst eine Strafe von bis zu 11 000 US-Dollar aufbrummt. Bei 200 Millionen Anwendern könnte die effektive Busse bis zu 2,2 Billionen US-Dollar betragen.