A rischio gli account MS Passport?

A rischio gli account MS Passport?

Lo sostiene un giovane bug hunter italiano, secondo cui in pochi secondi è possibile agire sui cookie degli utenti per sottrarre i dati di accesso ai servizi Passport
Lo sostiene un giovane bug hunter italiano, secondo cui in pochi secondi è possibile agire sui cookie degli utenti per sottrarre i dati di accesso ai servizi Passport


Roma – A breve distanza dalla scoperta di un potenziale problema di phishing su MSN , il giovane hacker italiano Salvatore Aranzulla ha reso noto l’esistenza di un bug nella piattaforma Passport sviluppata da Microsoft , la stessa che governa l’autenticazione e l’accesso degli utenti ad una molteplicità di servizi web.

Passport, come ben sanno i lettori di Punto Informatico, consente in sostanza di utilizzare un unico accesso (username + password) per usufruire di tutti i servizi convenzionati, perlopiù servizi offerti da MSN. Una eventuale falla, come quella di cui parla Aranzulla, potenzialmente mette a rischio la riservatezza dei singoli servizi utilizzati dagli utenti.

Il bug riguarda, spiega Aranzulla, il cookie che la piattaforma salva nel PC dell’utente all’atto del login e che ne consente l’identificazione per gli accessi successivi. “Mediante un bug da me scoperto nella versione francese (e già ho detto molto) di MSN – afferma Aranzulla – posso facilmente, in un minuto circa (…) rubare il cookie di un utente Passport per poi riutilizzarlo per sostituirlo al mio e, pertanto, identificarmi come il proprietario”.

Aranzulla ha naturalmente segnalato il problema a Microsoft, che per ora non ha rilasciato commenti sulla questione. “Finché la falla non viene corretta – scrive Aranzulla – mi auto-censuro, non rilasciando altri dettagli, per evitare applicazioni non proprio a titolo di studio. Il bug da me scoperto è di tipo XSS”.

Il consiglio del bug hunter agli utenti Passport è quello di disattivare Javascript finché il problema non sarà risolto, una cautela che può mettere al riparo da possibili furti di identità digitale .

Link copiato negli appunti

Ti potrebbe interessare

27 06 2005
Link copiato negli appunti