En programmør fra Seattle, Marc Slemko, har fået adgang til meget følsomme oplysninger på millioner af brugere af Microsofts Hotmail e-mailtjeneste.
Marc Slemko fik adgang til de mange oplysninger ved at undersøge huller i e-mailtjenesten såvel som på websiden Passport.com, der bliver brugt når brugere tilmelder sig Microsofts fælles registreringssystem Passport. Systemet har en elektronisk pung indbygget, der hedder Passport Express Purchase, hvilket gemmer kreditkortsinformation og leverings-adresser på brugere, der har foretaget eller ønsker at foretage handler via nettet.
- Vi har hurtigt taget de nødvendige foranstaltninger for at løse problemerne, siger Adam Sohn, der er produktmanager i Microsofts .Net-afdeling.
- Det første vi gjorde var at lukke for online-adgangen til Passports elektroniske pung, siger han.
Adam Sohn forklarer, at der ikke er tegn på, at nogen har misbrugt hullerne i systemerne endnu. Hullerne bliver lappet hurtigt, og tjenesterne er meget snart oppe at køre igen, siger han.
Mandag morgen kunne Microsoft i Danmark dog endnu ikke bekræfte, om hullet er blevet lukket.
Passport gør det muligt for brugere at registrere sig ét sted for at få adgang til en lang række nettjenester fra Microsoft.
Selskabet har også aftaler med net-butikker som eBay og Starbucks.com, så brugerne af Passport kan gå direkte til disse sider og købe ind uden at tilmelde sig igen.
Programmør Marc Slemko fandt hullerne i systemet efter at have identificeret en stribe fejl i Microsofts internettjenester og skrev efterfølgende et program, der afslørede den følsomme information minutter efter, at en bruger har logget sig på sin Hotmail-konto.
For at gøre det udnyttede han usikkerheds-momenterne ved det såkaldte ?cross-site scripting," hvor han udnytter en svaghed i systemet, der muliggør, at en person med forstand på kodning placerer sig mellem et website og en tilfældig internetbrugers computer og bryder sikkerheden i forbindelsen.
Selv siger Sohn, at cross-site scripting er en usikkerhedsfaktor, der er gældende for nettet generelt og ikke kun for Microsoft-tjenester.
Når en bruger logger sig på Passport-systemet, er der en periode på fem minutter, hvor brugeren har adgang til sin pung. Efter de fem minutter skal brugeren logge sig på systemet igen, hvis han ønsker adgang til pungen. Det er præcis de fem minutter, Sohn benytter sig af, når han vil stjæle oplysningerne.
Passport har 165 millioner registrerede brugere og omtrent to millioner af dem har ifølge Microsoft etableret en elektronisk pung.
