200.000.000 Account Passport A Rischio Di Falsificazione

La sicurezza non è un optional. Lo so che non ne potete più dei miei soliti consigli e “scoperte” ma dovete sopportare pure questa.

Come ben sapete, Microsoft ha creato il servizio Passport. Tale servizio è nato – almeno nell’idea originale – per far si che gli internauti si iscrivessero e potessero usare gli stessi dati (username e password) su una molteplicità di siti.

Se avete la memoria lunga ricorderete, ad esempio, che anche Ebay si appoggiava, accanto all’iscrizione “regolare” al suo portale, anche a Passport.

Oggi, Passport risulta essere usato principalmente nei siti Microsoft, che propone una “chiave unica”, vale a dire un solo username e password per accedere a tutti i suoi servizi.

Proprio l’utilizzo in vari siti fa si che la presenza di un bug di sicurezza in uno di questi comprometta la sicurezza degli altri.

Microsoft durante il log-in salva nel PC del visitatore un “cookie” che lo identifichi per le prossime entrate.

Mediante un bug da me scoperto nella versione francese (e già ho detto molto) di MSN posso facilmente, in un minuto circa, come hanno visto svariati giornalisti che mi hanno chiesto una dimostrazione pratica, rubare il cookie di un utente Passport per poi riutilizzarlo per sostituirlo al mio e, pertanto, identificarmi come il proprietario.

Se consideriamo che gli account Passport sono circa 200.000.000 (numero account Hotmail, anche se di fatto il numero è pressoché coincidente), posso affermare che 200.000.000 clienti di Microsoft sono a rischio di frode dell’account.

Purtroppo per la gravità del bug e dei possibili usi, finché la falla non viene corretta da Microsoft mi auto-censuro, non rilasciando altri dettagli, per evitare applicazioni non proprio a titolo di studio. Il bug da me scoperto è di tipo XSS.

Con questa nota premo affinché le varie testate segnalino la presenza di tale vulnerabilità, consigliando ai propri lettori di disattivare Javascript, per evitare di far incappare i propri lettori in frodi di identità.