Vorige week demonstreerden Duitse onderzoekers van het Institut für IT-Sicherheit hoe Microsoft's CardSpace, een Windows Vista applicatie om verschillende digitale identiteiten van de gebruiker te beheren, te kraken is. In plaats van steeds gegevens op een website in te vullen, kan een gebruiker een identiteit kiezen waarna hij alleen de te versturen informatie moet bevestigen. De informatie wordt in de vorm van een gegenereerde token naar de website verstuurd. De Duitse hackers wisten via pharming het token te onderscheppen, waardoor een aanvaller zich voor het slachtoffer kan uitgeven.

Microsoft heeft nog niet officieel op de hack gereageerd en gaat dat waarschijnlijk ook niet doen, zegt Microsoft beveiligingschef Roger Halbheer. "Waarom? Omdat de hele setup in mijn ogen onzin is. Het komt erop neer dat je alle waarschuwingen van het OS moet negeren en alle in Vista aanwezige beveiliging moet uitschakelen, dan is het mogelijk om CardSpace aan te vallen. Maakt dit me zenuwachtig? Niet echt."

Halbheer ontkent niet dat het onmogelijk is om een pharming-aanval uit te voeren, maar hiervoor is wel hulp van de gebruiker benodigd. Iets wat ook geldt voor het compromitteren van de Certificate Store. "Ze lieten niet zien hoe je een certificaat in de Trusted Root store krijgt zonder de nodige hulp van de gebruiker of een Certificate provider zover krijgt om een certificaat uit te geven voor een website waarvan je niet de eigenaar bent." Halbheer laat het publiek dan ook beslissen of dit werkelijk een beveiligingslek is.

"Je weet dat we beveiligingslekken in onze software serieus nemen, maar wat de studenten hebben gedaan is, met alle respect voor hun werk, onverantwoord. Het is misschien cool voor ze om Microsoft te beschuldigen en lekken in onze software te laten zien, maar als je dit doet, zorg er dan alsjeblieft voor dat het om een echt lek gaat, zonder de uitgebreide hulp van de gebruiker." Ook Microsoft 'Chief Architect of Identity' Kim Cameron bestrijdt dat de dienst gehackt is en toont deze video als bewijs.