El programador estadounidense Marc Slemko detectó la semana pasada un error de seguridad en Passport, el servicio electrónico de Microsoft para autenticación de usuarios que maneja información confidencial de los mismos. Según Slemko, el agujero de seguridad puede ser usado para hurtar tal información, incluyendo aquella registrada en Microsoft Wallet, que es usado para pagar en sitios de comercio electrónico.
La vulnerabilidad descubierta por Slemko es aprovechada enviando un correo-e con código script a un usuario de Hotmail. Slemko usó el denominado cross-scripting, combinado con el hecho de que los usuarios de Hotmail tienen acceso a todos los servicios de Passport durante los primeros 15 minutos del inicio de su sesión. Esto implica que los usuarios tienen una puerta abierta a Passport sin necesidad de digitar su nombre de usuario ni códigos de validación.
Entonces, si el usuario abre el mensaje de correo-e que contiene el código maligno, el script captura todas las galletas contenidas en la máquina del usuario y luego procede a iniciar una sesión hacia Microsoft Wallet, que contiene información altamente confidencial como el número de la tarjeta de crédito del usuario.
Cabe señalar que se trata de una vulnerabilidad potencial y que Microsoft comenta que hasta ahora nadie ha usado el agujero de seguridad para infiltrar una cuenta de Hotmail o los servicios asociados Passport.
Ultima hora: Microsoft informa haber corregido la vulnerabilidad detectada por Slemko modificando el sistema de autenticación y reduciendo el tiempo de sesión abierta de 15 minutos a un minuto.
