В сообществе специалистов по информационной безопасности сейчас широко обсуждается
обнаруженная на днях уязвимость в учетных записях сервиса Microsoft .NET Passport, в результате использования которой злоумышленник может изменить пароль и получить доступ к чужим данным. Уязвимость обнаружена в коде, обрабатывающем запросы пользователей, забывших свои пароли и пытающихся восстановить их с помощью «секретного вопроса». Как оказалось, этот код некорректно работает с учетными записями, заведенными до внедрения этой услуги. Для совершения злонамеренных действий мошенник должен знать адрес электронной почты и страну проживания жертвы.
Сервисом .NET Passport пользуются примерно 200 млн. человек. В мае текущего года уже обсуждалась уязвимость сервиса, при которой
злоумышленник мог получить высылаемый службой поддержки обновленный пароль доступа на подставной ящик электронной почты. Тогда эта проблема получила широкую огласку из-за того, что служба поддержки Microsoft не реагировала на запросы пользователей и исправила баг только после его публичного освещения.



Оставить мнение