Holenderscy specjaliści wykryli luki w systemach bezpieczeństwa programów komunikacyjnych Lotus Notes i Domino.

Hasła użytkownika zarówno w Notes, jak i Domino są szyfrowane w momencie ich wprowadzania. Jednak ciąg alfanumeryczny, na jaki są one przetwarzane, może posłużyć do rozszyfrowania głównego klucza kryptograficznego systemu oraz zostać wykorzystany przez innego użytkownika tego samego serwera jako aktywne hasło - ostrzegają przedstawiciele firmy Trust Factory.

Zdaniem specjalistów, osoba niepowołana może uzyskać dostęp do ciągu alfanumerycznego przy wykorzystaniu zaledwie kilku poleceń z poziomu przeglądarki, o ile tylko administratorzy udostępnili publicznie listę adresową użytkowników danego serwera.

Jeden z pracowników Trust Factory złamał zabezpieczenia Notes i uzyskał dostęp do haseł oraz plików poszczególnych użytkowników, co zostało zademonstrowane w miniony weekend podczas konferencji Def Con, odbywającej się w Las Vegas.

Innym sposobem na złamanie zaszyfrowanego ciągu z hasłem jest atak za pomocą makr, wirusów lub innych skryptów, pozwalających na przechwycenie danych osobowych użytkownika i przesłanie ich do autora takiego "podstępnego" kodu.

Przedstawiciele Lotusa twierdzą, że firma poinformowała swoich użytkowników o tych zagrożeniach już jakiś czas temu i zaleciła administratorom stosowanie innych, bezpieczniejszych metod szyfrowania haseł. Notes od wersji 4.6 wzwyż pozwalają na zastosowanie lepszych systemów bezpieczeństwa.