.NET Passport - уязвимость в "секретном вопросе"

02.07.2003 | 15:22
В учетных записях сервиса Microsoft .NET Passport обнаружена уязвимость, в результате использования которой злоумышленник может изменить пароль и получить доступ к чужим данным.

Уязвимость обнаружена в коде, обрабатывающем запросы пользователей, забывших свои пароли и пытающихся восстановить их с помощью "секретного вопроса". Как оказалось, этот код некорректно работает с учетными записями, заведенными до внедрения этой услуги. Для совершения злонамеренных действий мошенник должен знать адрес электронной почты и страну проживания жертвы.

Сервисом .NET Passport пользуются примерно 200 млн. человек. В мае текущего года уже обсуждалась уязвимость сервиса, при которой злоумышленик мог получить высылаемый службой поддержки обновленный пароль доступа на подставной ящик электронной почты. Тогда эта проблема получила широкую огласку из-за того, что служба поддержки Microsoft не реагировала на запросы пользователей и исправила баг только после его публичного освещения.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://cnews.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код