El miércoles 7 de mayo, el experto en informática Muhammad Faisal Rauf Danka informó a Microsoft sobre un grave agujero de seguridad en el servicio Passport. La compañía confirmó el error el jueves 8 de abril, señalando que este hacía posible para intrusos intervenir cualquiera de las 200 millones de cuentas de Passport mediante una URL determinada, que incluyera la secuencia “emailpwdreset”. La función que hace posible para los usuarios de Passport cambiar sus contraseñas fue desactivada inmediatamente después de conocido el procedimiento.
Microsoft dijo a diversos servicios de noticias no estar en antecedentes de usuarios que se hayan visto afectados por el problema de seguridad. Sin embargo, el experto Danka señaló ante las mismas agencias que él y un amigo habían sentido gran indignación al ver que sus cuentas de Passport eran frecuentemente intervenidas por intrusos. Fue precisamente en reacción ante tal problema que Danka se dispuso a averiguar la causa del error. Según relata, le tomó sólo 4 minutos detectar la URL que le daba el control total sobre 200 millones de cuentas de Passport.
Danka comenta lacónicamente que “Fue sencillo. No debería haber sido tan fácil. Cualquiera pudo haberlo averiguado”.
La Comisión Federal de Comercio de Estados Unidos investigará el caso. Por lo pronto, la entidad declara que Microsoft ha realizado publicidad engañosa al exagerar las características de seguridad de Passport.
Un acuerdo anterior entre Microsoft y la citada comisión, relativo al tema de la seguridad de Passport, implica que la compañía de Bill Gates puede ser multada con 11.000 dólares por cada infracción al acuerdo. Según Jessica Rich, portavoz de la comisión, cada cuenta vulnerada implica una violación del acuerdo. Considerando entonces que Passport tiene 200 millones de cuentas activas, la multa final contra Microsoft podría alcanzar los 2.200 millones de dólares.
