Um trio de pesquisadores de segurança disse ter conseguido comprometer com sucesso a tecnologia CardSpace da Microsoft. A tecnologia CardSpace está presente no Windows Vista e funciona em conjunto com um browser quando o usuário utiliza um site que pede por informações como endereço ou número de cartão de crédito. As informações pessoais podem ser armazenadas no computador do usuário ou em um serviço de armazenamento de terceiros.
O CardSpace mantém um conjunto de cartões de identificação virtuais no PC do usuário. Quando um site pede por informações, o usuário escolhe um de seus cartões. Cartões "self-issued" armazenam informações sobre a identidade, enquanto que cartões "gerenciáveis" são armazenados por um provedor de identidades.
Os pesquisadores, do Horst Gortz Institute for IT Security na Universidade Ruhr, mostraram como é possível interceptar o token de autenticação do CardSpace. O hacker poderia então utilizar o token para obter acesso à outro site ou transmitir informações para este site.
Mais informações
