MÜNCHEN (COMPUTERWOCHE) - Microsoft musste am Donnerstag den Authentifizierungsdienst Passport für mehr als 48 Stunden vom Netz nehmen, um Sicherheitslücken zu stopfen, berichtet das US-Onlinemagazin Wired. Dem Open-Source-Programmierer Marc Slemco ist es zuvor gelungen, durch eine manipulierte E-Mail Zugriff auf Daten von Nutzern des Passport-Services "Wallet" zu bekommen, der als elektronische Geldbörse dient. Er hat dabei das so genannte "Cross Site Scripting" ausgenutzt, eine Sicherheitslücke, die laut Slemco nicht nur Microsoft-Dienste betrifft. Dabei ist es möglich, direkt nach der Anmeldung beim E-Mail-Service Hotmail fünf Minuten lang auch Wallet zu nutzen, ohne sich neu bei Passport anmelden zu müssen. In dieser Zeit lassen sich Daten wie Kreditkartennummern abgreifen. Um dieses Risiko zu verringern, hat Microsoft die Zeitspanne auf eine Minute reduziert.

Betroffen waren Benutzer der Internet-Explorer-Versionen 5.5 und 6.0 auf den Windows-Varianten 98 und 2000. In einer Stellungnahme spielt Microsoft das Risiko herunter. Bislang sei durch die Lücke niemand geschädigt worden. Kritiker sehen sich dagegen bestätigt. Sie befürchten, dass die Gates-Company mit 95 Prozent Marktanteil über Passport eine Datenbank aller Internet-Benutzer aufbaut, die aller Voraussicht nach unsicher sein wird.