Passport出紕漏 微軟恐遭重罰

chiang wrote:
微軟Passport服務出現安全漏洞，數百萬名用戶的個人資料有外流之虞，可能使微軟公司面臨調查和鉅額罰款。
針對Passport認證服務密碼重設功能的安全漏洞，軟體巨人8日緊急評估其影響的嚴重程度。這個由CNET News.com首先披露的安全漏洞，可能已讓駭客單憑一個Passport用戶的電子郵件地址，就能取得諸如用戶姓名、住宅地址和信用卡號等個人資料。
對於一家公開宣稱視安全性為第一要務的大公司而言，Passport出差錯不啻賞微軟一個巴掌，而此事件造成的傷害不止於商譽受損而已。
去年8月，微軟與美國聯邦公平交易委員會（FTC）簽署協議，明定微軟不得就Passport服務的安全性和隱私保護發布不實的訊息，而且必須加強安全性和隱私保護。FTC雖然對可能的調查不予置評，但FTC的確會著手調查微軟是否遵守協議的相關問題。
FTC財務措施部門官員Jessica Rich說：「依據我們的命令，他們必須採取合理而且適當的步驟和防護措施。顯然沒有一套標準來判定若出差錯他們便屬於違反命令，但我們會評估他們採取的步驟是否充分。」
FTC的調查可能使微軟面臨鉅額罰金──每一件違規可處1.1萬美元。
有些報導指出，倘若FTC決定重罰微軟，把所有Passport帳戶都列入違規案例計算，則微軟必須支付的總罰金可能高達2.2兆美元之多。不過，比較可能用來決定罰金金額的計算標準，應是被阻擋在自己的帳戶外不得其門而入的人數。
問題的關鍵在於，微軟去年9月修改Passport系統，增加密碼重設功能，是否違反與FTC簽定的協議。協議中的條款要求該公司採取「具合理防護措施的設計和應用，以控制（用戶資訊面臨的）風險」。微軟對此問題不予置評。
若被判定違規，對微軟的網路服務願景將是一記打擊。軟體巨人將Passport定位為網路服務的技術樞杻。Passport帳戶是個人線上資料的中央儲存所，內含的資料可能包括生日、信用卡號等。透過Passport服務，用戶可用單一錀匙開啟許多線上帳戶。
微軟的Hotmail電子郵件和MSN Messenger即時傳訊都採用Passport認證服務，其他的商務服務，例如線上遊戲和微軟Reader電子書的交易，也依賴Passport。多家網路零售商，例如eBay、佳能、Expedia和星巴克，也採用Passport認證。微軟估計使用中的Passport帳戶約有2億個。
最新的安全漏洞讓駭客用單一的網址（或稱URL），要求Passport伺服器提供密碼重設表格。輸入的URL內含該帳戶欲更改的電子郵件住址力以及駭客希望密碼重設資訊回傳的住址。把那一行URL輸入瀏覽器中，駭客可能唆使Passport伺服器回傳一個連結，便於重設密碼，進而讓駭客入侵該帳戶。
為阻止駭客利用此安全漏洞作亂，微軟7日下午迅速貼出安全告示，當晚11時30分前更關閉密碼重設功能。同日微軟也封鎖可疑帳戶，迫使部分Passport用戶直接與客服部連繫，確認身分無誤後才能重新啟用。
(CNET新聞專區：Robert Lemos)

unlocker wrote:
太誇張了吧!微軟根...(恕刪)

cruiser58478 wrote:

為什麼最近很流行考古文？還都專挑蔣大發卻當年無人回文的文章出來？這篇都十五年前的事了⋯

cruiser58478 wrote:
為什麼最近很流行考...(恕刪)