Redmond (USA) – Nei giorni scorsi Microsoft ha sistemato un buco nella sicurezza del proprio servizio di autenticazione on-line Passport. La falla, divulgata pochi giorni fa da un esperto, Victor Manuel Alvarez Castro, avrebbe potuto consentire ad un cracker di sottrarre ai legittimi proprietari alcuni vecchi account di Passport.
La vulnerabilità risiedeva nel codice che, da quattro anni a questa parte, gestisce il campo di registrazione “Domanda Segreta”, una funzione a cui gli utenti possono far ricorso nel caso non ricordino più la propria password. Microsoft ha spiegato che alcuni degli account creati prima dell’introduzione di questa funzione, avvenuta nell’agosto del 1999, contenevano dei dati errati nel campo Domanda Segreta, dati che avrebbero potuto essere sfruttati da un aggressore per azzerare la password dell’account e cambiarla con una a propria scelta.
Microsoft ha sottolineato come il problema, sebbene serio, interessasse una piccola percentuale degli utenti di Passport: oltre a ciò, per sfruttare la falla l’aggressore avrebbe dovuto conoscere l’indirizzo e-mail e la nazione del proprietario dell’account. Il colosso afferma di non avere nessuna prova che qualcuno abbia utilizzato la breccia per penetrare nell’account di uno o più utenti.
Ancora una volta il big di Redmond ha criticato il fatto di non essere stata informata della falla con un certo anticipo rispetto alla sua divulgazione. Castro, dal suo canto, si difende sostenendo di aver inviato a Microsoft diverse e-mail rimaste, a suo dire, senza risposta.
A maggio Microsoft ha patchato una vulnerabilità di sicurezza simile alla precedente e relativa al sistema di recupero delle password di Passport.