微軟為方便用戶作電子交易而推出的「護照」(Passport)服務,存在嚴重安全漏洞,令用戶的個人資料可能被盜竊。微軟知悉有關問題後,於周四清晨已修補漏洞。
巴基斯坦電腦專家丹卡發現的漏洞,是存在於Passport的密碼恢復系統中。黑客只需鍵入包含emailpwdreset的網址,便可奪取任何用戶的戶口,只要更改用戶的密碼,便可竊取用戶的電郵戶口、信用卡資料和健康資料等。
丹卡發現自己和朋友的微軟「護照」戶口多次被人奪走後,在檢查控制「護照」戶口的微軟網站,結果只花了四分鐘便發現了上述的保安漏洞。
丹卡說:「這(奪走其他用戶戶口)實在很容易,但不應該那麼容易,任何人都能做得到。」
微軟Passport服務前年推出,旨在讓用戶將資料集中放在一個地方上,方便用戶購物或登入網站。
微軟去年曾因Passport服務保安問題,與聯邦貿易委員會達成和解協議,微軟曾承諾保護消費者的資料,每發生一宗違規事件便罰款約八萬六千港元。若今次二億用戶全受影響,罰款額將高達十七萬一千六百億港元。
路透社/美聯社