Sicherheitslücke bei Passport macht Microsoft weiter Schwierigkeiten

Die am gestrigen Donnerstag gemeldete Schwachstelle in Passport ist offensichtlich noch immer nicht endgültig beseitigt; das unautorisierte Zurücksetzen von Passwörtern ist teilweise weiterhin möglich. Microsoft arbeitete gestern unter Hochdruck an dem Problem -- offenbar sogar am Produktivsystem, was teilweise zu Störungen und dem Anzeigen von Codefragmenten im Browser führte. Auch in der Sicherheits-Mailinglist Full Disclosure erscheinen immer noch Postings, die von erfolgreichem Ausnutzen der Sicherheitslücke berichten: Passwörter von bekannten Passport-Accounts können dabei zurückgesetzt und anschließend neu gesetzt werden.

Das Wall Street Journal spekuliert mittlerweile darüber, ob für Microsoft nun ein größeres Problem heranwachsen könnte. Im August vergangenen Jahres unterzeichnete Microsoft gegenüber der Federal Trade Commission (FTC) eine Erklärung, in der Microsoft sich zu verbesserten Datenschutzmaßnahmen verpflichtet. Die FTC könnte nun Ermittlungen einleiten, um zu überprüfen, ob Microsoft diese Erklärung verletzt hat; eine Sprecherin der Behörde erklärte bereits, man werde den Vorgang prüfen, könne aber noch nichts dazu sagen, ob es eine formale Untersuchung geben werde. Sollte die FTC zu der Ansicht kommen, Microsoft habe die Vereinbarung verletzt und ungenügende Sicherheitsvorkehrungen getroffen, könnten dem Konzern Strafen in ungeahntem Ausmaß drohen. Da jeder betroffene Passport-Account nach Ansicht der FTC-Sprecherin möglicherweise eine eigene Verletzung der Vereinbarung mit der FTC darstellt, beliefe sich die maximale Strafe auf 2,2 Billionen US-Dollar. (dab)