Centralizacja niewskazana
Na początek przypomnę, do czego służy ta usługa. Otóż jest to mechanizm, który przechowuje informacje przydatne podczas sufrowania po Sieci. Na dyskach twardych systemu zapisano adresy, nazwy kont e-mail, hasła i numery kart kredytowych ok. 200 milionów użytkowników. Dzięki temu internauci nie muszą pamiętać czasem dziesiątek nazw, haseł i numerów oraz są uwolnieni od ich wprowadzania.
O wynalazku Microsoftu powiedziano dużo (
CHIP 11/2001, 166
). Wiele napisano na temat jego wadliwej architektury i błędów w systemie zabezpieczeń. Śledztwo prowadzone przez Federalną Komisję Handlu oraz postępowanie urzędników Unii Europejskiej sprawiły, że inżynierowie Microsoftu wprowadzili do usługi wiele zmian. A w maju 2003 r. wybuchła bomba.
200 mln potencjalnych wrogów
Pakistański użytkownik przysłał na listę dyskusyjną Full Disclosure informację o poważnej “dziurze”. Okazało się, że każda osoba łatwo mogła zmienić hasło dowolnego użytkownika Passportu. Później mogło dziać się już wszystko – haker miał dostęp do skrzynki, danych osobowych czy wreszcie numerów kart kredytowych.
Microsoft podjął odpowiednie działania – szybko wyłączył mechanizm pozwalający na zmianę haseł. Zablokował też część kont, co oczywiście uniemożliwiło ich właścicielom korzystanie na przykład ze skrzynek na Hotmailu. Jednak osoba, która powiadomiła o błędzie, twierdzi, że “dziura” była znana od dawna.
Będzie kara?
Jaki jest efekt całej “zadymy”? Analitycy z firmy Gartner zalecili firmom, by zrezygnowały z używania “paszportu” na pół roku. Niezmiernie ważne jest to, co powiedzą urzędnicy. Wszak Microsoft zobowiązał się zwiększyć bezpieczeństwo Passportu. Teoretycznie kara finansowa (nałożona przez Komisję Handlu) może wynieść nawet 2,2 biliona dolarów, jednak Microsoft pewnie jak zwykle się wyłga. W końcu na straty naraził tylko 200 milionów użytkowników.