パキスタンの研究者が一風変わったシンプルなセキュリティ・ホールを,Microsoftの.NET Passport認証システムで発見した。最悪の場合,クレジット・カードの番号やその他の個人情報が漏れる恐れがあった。欠陥は報告のあと即座に修正されている。

 問題となったのは,パスワードのリセットを希望したユーザーに向けて送ったURLである。このURLには,ユーザーのメール・アドレスが含まれていたのだが,そこを他人のものに変更すると他人のアカウントのパスワードが変更できるようになっていた。その結果として他人のアカウントでのアクセスが可能になる。

 Microsoftは最近「Trustworthy Computing(信頼されるコンピューティング)」という活動でセキュリティを重視しているが,このような問題が発見されるようでは前途多難である。