Trzech niemieckich specjalistów ds. bezpieczeństwa poinformowało, iż udało im się złamać technologię zabezpieczającą Microsoft CardSpace, która ma zwiększyć bezpieczeństwo danych personalnych surfujących po Internecie.

Firma z Redmond uważa, iż technologia CardSpace może zredukować problemy związane z kradzieżą danych osobowych przez Sieć. Co więcej, Microsoft planował zintegrowanie CardSpace z OpenID, otwartym standardem zwiększającym poziom bezpieczeństwa internautów.

CardSpace oferowane wraz z systemem operacyjnym Windows Vista współpracuje z przeglądarką internetową. Po zdefiniowaniu przez użytkownika swego rodzaju „karty identyfikacyjnej”, która jest odpowiednikiem identyfikatora (zawiera imię, nazwisko, adres, itp) i połączeniu się ze stroną proszącą o jej wysłanie, dochodzi do przekazania danych identyfikujących internautę (o ile ten zgodzi się na ten transfer).

Serwis może prosić o kartę osobistą (zawierające tylko część danych) lub firmową (zawierającą dowolne dane). Zapisywane na kartach informacje są szyfrowane.

Studenci Sebastian Gajek i Xuan Chen, oraz Jorg Schwenk (profesor na Ruhr University w Bochum), ujawnili, iż może dojść do przejęcia wysyłanego przez firmę ISP tokena informacyjnego identyfikującego użytkownika.

Jeśli podczas procesu autoryzacji z wymagającym tej czynności serwisem użytkownicy polegają na identyfikatorze operatora ISP, ten ostatni wysyła token identyfikujący. To właśnie wtedy może dojść do przejęcia informacji. Aby podstęp się udał, należy przekierować ruch internetowy użytkownika na złośliwy serwer www (wystarczy zmodyfikować ustawienia DNS).

Przechwycony token może może zostać wykorzystany do uzyskania dostępu do szyfrowanych informacji znajdujących się na „oryginalnej stronie”.

Microsoft nie zdążył ustosunkować się do opisanego problemu.