Une faille critique de sécurité, affectant les comptes utilisateurs du service passport .NET de Microsoft, a été découverte. Celle ci permettait de modifier le mot de passe d'un compte dont le nom d'utilisateur était connu.
Par l'utilisation d'une simple URL contenant l'adresse mail de la victime ainsi qu'une adresse mail choisie par l'attaquant, celui ci pouvait réinitialiser le mot de passe du compte et recevoir par mail le lien servant à déterminer un nouveau mot de passe.
Microsoft a réagi rapidement et il n'est à présent plus possible de réinitialiser les mots de passe de cette façon.
Il n'en demeure pas moins que ce genre de faille est assez inquiétant quand on sait toutes les informations personnelles qui peuvent être stockées par le service de Microsoft.
