因一个安全漏洞可能造成2亿个互联网Passport帐户个人信息曝光，微软可能面临FTC的调查和以及2.2万亿美元的巨额罚款。

　　ChinaByte 综述（记者 Frank）　美国当地时间5月8日，微软紧急确定其Passport身份识别服务的口令重置功能中的安全漏洞造成的影响。这个安全漏洞能够让黑客仅用Passport用户的一个电子邮件地址就能够访问用户名、地址和信用卡号等信息。因其攻击方法极为简单，而且Passport中经常储存数据的高价值，这个漏洞变得高度危险。

　　巴基斯坦电脑专家发现漏洞

　　这个安全漏洞是由巴基斯坦的一位电脑咨询师丹卡(Muhammad Faisal Rauf Danka)发现的。他在给微软的电子邮件中表示：电脑黑客可以利用这一漏洞，键入一个包含“emailpwdreset”字节的特殊的网址后，就会重新设定Passport帐号的密码，从而窃取Passport帐号。并表示这基本上不是一个被人利用以达到非法目的问题或系统易受攻击的问题，从网络应用逻辑看，这就是一个缺陷。该缺陷已存在很久了，我不过是最近才发现了它。

　　微软可能被罚2.2万亿美元

　　对于一个把安全当作头等大事的公司来说，Passport服务出现的问题是一个重大的失败。但是，这对微软造成的损失还不仅仅是公共关系恶化的损失。

　　微软的产品经理Adam Sohn说，该公司并没有觉察到有黑客闯入了用户的Passport帐户，但几位专家称，他们昨晚成功测试了该程序。

　　从理论上来说，微软可能因此面临美国监管当局高达2.2万亿美元的罚款。根据该公司和联邦贸易委员会(FTC)去年就Passport的安全失误问题达成的一项和解协议，微软保证，在未来20年将采取适当措施保护个人用户信息的安全。每次故障将使该公司面临至多11,000美元的罚款。

　　联邦贸易委员会称其正在调查这次安全失误。该机构负责财务运作的副主管Jessica Rich周四表示，每一个易受攻击的帐户可看作是一次失误，这样微软可能面临的最高罚款数额将为2.2万亿美元。 

　　FTC已展开调查 微软还未明确表态

　　FTC官员表示，根据FTC的命令，微软需要采取合理的和恰当的步骤并且要保证安全。显然，没有一个标准说，如果出了问题，他们就违反了这个命令。但是，我们要评估他们采取的步骤是否合理。

　　微软对于是否与FTC讨论这个问题拒绝发表评论。

　　微软曾与FTC达成协议 Passport将作全面修正 

　　微软公司2002年8月8日表示，作为与联邦贸易委员会（FTC）达成的和解协议的一部分，微软同意对其Passport身份识别系统做彻底的修改。

　　这个和解协议解决了用户投诉的问题，如指控Passport收集了过多的信息、使用了不公正或欺骗的手段、没有适当地保护个人特别是儿童的隐私和安全等。联邦贸易委员会主席Timothy Muris表示，FTC的调查和这个和解协议是对去年夏季消费者对Passport的一系列投诉作出的回应。

　　Passport确有问题 微软曾接受FTC苛刻和解条件

　　微软的Passport也受到了各方面的批评，特别是在隐私与安全方面。FTC主席Muris在2002年8月8日的电话会议上指出了微软公司虚假陈述的几个问题：1.Passport系统和存储在该系统中的个人信息的整体安全问题。2.使用Passport钱包在线购物的安全问题。3.微软在Passport服务中收集的个人信息的种类问题。4.家长对参与儿童Passport计划的网站所收集的信息的掌握程度。

　　FTC概述了6页长的投诉的内容。许多问题都是由于微软公司没有遵守其有关Passport服务、Passport钱包或儿童Passport服务的承诺所引起的。

　　作为这个和解协议的一部分，微软公司已经修改了其隐私声明，以便准确地反映所收集的信息和这些信息如何使用。

　　在2002年8月8日发表的8页长的和解协议中，微软还表示同意不再使用不公正的或欺骗的手段并且保护个人信息的安全和隐私。微软公司表示要遵守这个和解协议20年。这也是这类和解协议的惯例时间。

　　FTC主席Muris称，在一年之内，微软公司必须获得有资格的、独立的第三方颁发的合格证，认定微软的安全计划能够提供本命令要求的保护措施。然后，每两年对此进行一次评估。

　　微软公司表示，与FTC达成的和解协议是微软公司设法与管理机构理顺法律问题的一部分。这个协议表明，微软重视与政府在重要的公共问题上进行建设性的对话。

　　Passport认证服务早有漏洞 微软两年前暂停服务两天

　　据华尔街日报网站2001年11月5日报道，因担心用户信用卡信息泄露，美国微软将关闭Passport认证服务48小时以解决这个系统的安全问题。

　　报道称，西雅图一编程人员上周发现该系统存在漏洞，并通知微软。他发现一种向Hotmail用户发送恶作剧信息的方法，并可藉此自用户的Passport电子钱包帐户窃取用户个人资料。

背景资料：

　　微软Passport服务是什么

　　我们可以从微软的www.passport.com站点上看到Microsoft Passport的使用条款和通告。Microsoft Passport 是由微软公司运行的一种 Web 服务，该服务会使您登录到网站以及执行电子商务交易的过程变得更加简便。微软的Passport服务是.Net战略的一部分，通过一次登录就可以使用户获得访问很多网站的权限。Passport 当前包括多用途验证服务（简称“Passport 单一登录”）、专门面向儿童的验证服务（即“Kids Passport”，当前仅适用于美国用户）、特快购物服务（简称“Passport 特快购物”）。用户只能将 Passport 服务用于个人并且是出于非商业的目的。如果将 Passport 服务提供给个人应用程序、网站或网络服务的用户，则必须与微软签定另外的合法协议。微软宣称Passport的目的是使会员在使用互联网和在线购物时更方便、快捷和安全，它得到了包括1-800-Flowers、CostCo、OfficeMax和Victoria Secret在内的诸多著名在线商店的支持。

　　通过微软的Passport服务，一个需要登录才能进入的站点，用户只需要将个人信息输入一次，信息自然会被其它的服务站点所接收。这项服务为人们提供了很大的方便，比如在人们光顾电子商务站点时，不需要重复输入信用卡信息。当您注册 Passport 帐户或 Kids Passport 帐户时，Passport 将收集两类信息：

　　1.个人识别信息：即用来识别您的信息或者允许他人与您联系的信息。在 Passport 收集的个人识别信息中，主要包含电子邮件地址（Passport 是以电子邮件地址为基础的）。此外，根据您注册的 Passport 服务，Passport 可能还会收集您的姓名和/或电话号码。

　　2.非个人识别信息或“人口统计”信息：即那些无法用来识别您的信息或者其他人员无法据此与您联系的信息。Passport 收集的非个人识别信息包括您所在的国家（地区）、省/自治区、邮政编码、时区、性别、生日以及职业。

　　如果您选择创建 Passport Wallet，Passport 则会收集其他的个人识别信息，包括您的姓名、电话号码、信用卡信息、帐单寄送地址以及货物发送地址。Passport 还将收集您提供的机密问题及答案。当您需要重新设置密码时，机密问题及答案有助于验证您的 Passport。