Certificado exposto compromete segurança da Xbox

Os certificados garantem a segurança das comunicações na Internet, mas assentam numa premissa de segredo de alguns componentes que não podem ser partilhados.

A Microsoft cometeu agora uma falha e deixou escapar as chaves privadas de um certificado da Xbox, comprometendo a segurança do acesso ao site Xbox Live.

Não ficou claro de que forma a Microsoft deixou que as chaves privadas do certificado do site xboxlive.com fossem tornadas públicas, mas a verdade é que esta quebra de segurança aconteceu.

Como resultado desta falha, a segurança da transmissão de dados para este site web deixa de estar garantida, o que pode levar a que os dados dos utilizadores possam ser comprometidos ao acederem ao site.

Na prática os nomes de utilizadores e as palavras-passe dos utilizadores podem ser roubados caso os atacantes montem esquemas de ataque "man-in-the-middle".

A referência a esta fuga está num alerta da própria Microsoft, onde pode ser encontrada informação variada sobre o problema e de que forma este pode afectar os utilizadores.

Para mitigar este problema e evitar que tenha proporções mais alargadas, a Microsoft tratou de revogar de imediato esse certificado e os seus sistemas operativos vão actualizar as suas listas de revogações e de certificados válidos nos próximos dias.

Apesar de ser um problema grave, a Microsoft relatou que esta informação que foi tornada pública não pode ser usada para assinar novos certificados, o que diminui a probabilidade deste ser usado em situações futuras.

A Microsoft não tem também qualquer conhecimento de situações em que este certificado que foi tornado público tenha sido usado para obter informações dos utilizadores.