Un reciente problema de seguridad en el emblemático servicio Passport podría no sólo seguir dañando la imagen de la empresa, sino también ocasionarle multas de la Comisión Federal de Comercio (FTC).

El miércoles por la noche fue anunciada en la lista de discusión Full Disclosure una vulnerabilidad crítica en el servicio de Microsoft llamado Passport, el cual es utilizado por todos sus sitios para manejar los usuarios que a estos acceden. Hotmail, y el propio sitio de la empresa de Bill Gates utiliza Passport para validar el acceso de sus usuarios.

Passport es, básicamente, un servicio que le permite a una persona autenticarse en distintos sitios directamente y con la misma cuenta de usuario. Además, éste puede contener otros datos personales del usuario, como su número de tarjeta de crédito, entre otras cosas. Existen alrededor de 200 millones de usuarios de Passport según la información brindada por Hotmail.

El agujero de seguridad reportado permitía a un atacante cambiar la contraseña de cualquier cuenta de Passport, solo sabiendo su nombre de usuario. De esta manera, a través de una falla en el mecanismo de recuperación de contraseña, cualquier podía robar una cuenta de este servicio, y utilizarla para, por ejemplo, acceder a su cuenta de correo en Hotmail o obtener su información personal.

La falla fue informada por una persona que decía llamarse Muhammad Faisal Rauf Danka, un consultor de seguridad pakistaní, que, según sus propias palabras, descubrió la falla cuando su propia cuenta de Passport fue robada por un tercero. Muhammad también publicó la forma en que este agujero de seguridad podía ser aprovechado, ya que intentó comunicarla a Microsoft sin éxito desde Marzo.

Ante la publicación de la falla y de cómo podía explotarse, los responsables de Passport rápidamente deshabilitaron el mecanismo de recuperación de contraseña del servicio, y se pusieron a trabajar en una solución, que fue puesta en funcionamiento algunas horas más tarde, tras trabajar en ella toda la noche del Miércoles y mañana del Jueves.

Según Adam Sohn, Gerente de Producto de Microsoft Passport, el problema existía desde Septiembre del 2002, fecha en la que el sistema de recuperación de contraseña se puso en funcionamiento tal como es ahora, y que no la habían corregido antes debido a que no sabían de ella. Los reportes de Muhammad se hicieron a una dirección que no es la usual para informar de vulnerabilidades y por ello no llegaron a destino, afirmó Sohn.

La difusión de esta falla ayuda a desestabilizar aún más la imagen de la empresa respecto a la seguridad de sus productos, y podría costarle caro si la Comisión Federal de Comercio estadounidense (Federal Trade Commision) inicia las investigaciones que está analizando en llevar adelante actualmente.

Esta investigación, basada en la necesidad de que la empresa cumpla sus obligaciones con sus clientes, podría obligar a pagar 11,000 dólares americanos por violación a los acuerdos de seguridad y privacidad que esta falla haya desencadenado. Aunque sus arcas no se verían seriamente afectada por multas como estas, su imagen se dañaría aún más, en medio de toda la iniciativa pro-seguridad que la empresa viene llevando delante desde el lanzamiento de lo que Bill Gates llamó Trustworthy Computing.

Más información

CNET News.com - Passport problems could cost Microsoft
http://news.com.com/2100-1009_3-1000655.html?tag=lh

Microsoft – Security Issue in Microsoft .NET Passport Is Resolved
http://www.microsoft.com/security/passport_issue.asp