Sebezhető Passport

Net Passport azonosítókat, derült ki egy sebezhetőségi levelezési listán közzétett üzenetből.

A sebezhetőség abban a kódban található, amely segít a felhasználónak, aki elfelejtette a jelszavát. A felhasználó személyazonosságát bizonyító „Titkos kérdés” elem úgy manipulálható a korábban - a kérdés telepítése előtt - létrehozott azonosítóknál, hogy a támadó meg tudja változtatni a jelszót, és onnantól kezdve a legitim felhasználónak tudja kiadni magát az online tranzakciókban. Azokat az azonosítókat nem érinti a hiba, amelyeket a Titkos kérdés telepítése után hoztak létre. Itt ugyanis a támadónak tudnia kéne a legitim címtulajdonos e-mail címét és országát - sőt az USA-ban az államát és a postai kódszámát is.

Viszont mivel kb. 200 millió Passport azonosítót tartanak nyilván, sok sebezhető azonosító élhet még. Ez már a második hiba két hónap alatt, amelyet a Passportban tapasztaltak. A korábbit májusban egy pakisztáni programozó találta, amely lehetővé tette, hogy egy támadó a megtámadott személy e-mail címének birtokában e-mailben megkérje „elfelejtett” jelszavát, amit egyébként a rendszer bármilyen megadott e-mail címre továbbít.