|
Поделиться
Поделиться
.NET Passport - уязвимость в "секретном вопросе"
В сообществе специалистов по информационной безопасности сейчас широко обсуждается обнаруженая на днях уязвимость в учетных записях сервиса Microsoft .NET Passport, в результате использования которой злоумышленник может изменить пароль и получить доступ к чужим данным. Уязвимость обнаружена в коде, обрабатывающем запросы пользователей, забывших свои пароли и пытающихся восстановить их с помощью "секретного вопроса". Как оказалось, этот код некорректно работает с учетными записями, заведенными до внедрения этой услуги. Для совершения злонамеренных действий мошенник должен знать адрес электронной почты и страну проживания жертвы. Представители Microsoft не были доступны для дачи комментариев.Сервисом .NET Passport пользуются примерно 200 млн. человек. В мае текущего года уже обсуждалась уязвимость сервиса, при которой злоумышленик мог получить высылаемый службой поддержки обновленный пароль доступа на подставной ящик электронной почты. Тогда эта проблема получила широкую огласку из-за того, что служба поддержки Microsoft не реагировала на запросы пользователей и исправила баг только после его публичного освещения.
Источник: по материалам ComputerWeekly.com
Короткая ссылка
