computerwoche.de

Archiv

Peinliche Lücke in Web-Einkaufssystem

Microsofts Passport legt Kreditkarteninformationen bloß

09.11.2001
MÜNCHEN (CW) - Eine Sicherheitslücke in Microsofts "Passport"-Identifikationssystem, das den Kauf im Web einfach und sicher machen sollte, legt unter gewissen Voraussetzungen Kreditkarteninformationen von Benutzern bloß. Die Gates-Company musste deshalb den Authentifizierungsservice für zwei Tage vom Netz abkoppeln.

Dem Open-Source-Programmierer Marc Slemco, der auch als unabhängiger Sicherheitsexperte tätig ist, war es gelungen, durch eine manipulierte E-Mail Zugriff auf Daten von Nutzern des Passport-Service "Wallet" (Geldbörse) zu bekommen. Wallet dient als elektronische Geldbörse. Sie wird auch "Express Checkout" genannt - ein im Licht der Ereignisse fast schon ironischer Verweis auf die Unsicherheit der Microsoft-Technologie.

Slemco hat dabei das "Cross Site Scripting" ausgenutzt, eine Sicherheitslücke, die laut Slemco nicht nur Microsoft-Dienste betrifft. Der Programmierer schickte zur Demonstration der für Microsoft sehr peinlichen Sicherheitslücke eine E-Mail mit einem präparierten Link an Passport-Abonnenten. Klickte der Adressat diesen Link an, wurde er auf Slemcos Server gelenkt. Von dort aus wurde der Passport-Nutzer gebeten, seine Identität via Passport zu verifizieren. Taten die Zielpersonen Slemco den Gefallen, hatte er Minuten später Zugriff auf diverse Informationen wie eben Kreditkartennummern und Passwörter.

Eigentlich soll Microsofts elektronische Geldbörse (Wallet) die Abwicklung von Geldtransaktionen im Internet vereinfachen. Mit einem einzigen Account beim Passport-Identifizierungssystem können Privatkunden Käufe und andere Transaktionen bei solchen Internet-Anbietern tätigen, die sich am Passport-System beteiligen. Ohne sich jedesmal neu einloggen zu müssen, reicht der einmalige Zugang zum Microsoft-System für den Einkauf auf anderen Web-Seiten.

Da Microsoft Passport in seine .NET-Strategie und damit in Windows integriert hat, das auf rund 90 Prozent aller weltweit benutzten PCs installiert ist, ist die potenzielle Zahl der Nutzer des Identifikationssystems entsprechend groß. Microsoft speichert auf seinen Passport-Servern Benutzerdaten wie etwa Kreditkartennummern und Passwörter. Momentan sind für den Identifikationsdienst rund 165 Millionen Menschen weltweit registriert. Betroffen von der Sicherheitslücke waren jene zwei Millionen Passport-Abonnenten, die die "Wallet"-Funktion in Passport auf rund 70 E-Commerce-Websites nutzen.

In einer Stellungnahme bestätigte Microsoft die Sicherheitslücke. Adam Sohn, ein für Passport zuständiger Microsoft-Produkt-Manager, sagte, es gebe nicht den geringsten Hinweis, dass sich bereits jemand die von Slemco offen gelegte Sicherheitslücke zunutze gemacht habe.

Kritiker des Passport-Systems sehen sich dagegen bestätigt. Sie befürchten, dass die Gates-Company mit rund 90 Prozent Marktanteil an Windows über Passport eine Datenbank aller Internet-Benutzer aufbaut. Diese sei dann offen für Zugriffe von Unbefugten. (jm)