Medewerkers van Microsoft ontdekten een zero-day in betaaldiensten, brachten snel een aantal belangrijke aanbieders van dergelijke betaaldiensten daarvan op de hoogte maar vergaten dat zij zelf eveneens betaaldiensten aanbieden. De melding werd daardoor niet intern doorgegeven.

Microsoft biedt zelf betaaldiensten aan in landen waar het zijn Bing volledig heeft ontwikkeld. Via Bing kan je in onder meer de Verenigde Staten spullen kopen. Maar dat werd door de ontdekkers van een gapend gat in die diensten vergeten. Wel werden andere betaaldiensten op de hoogte gesteld.

Medewerkers overtreden bedrijfsbeleid

Het probleem is niet in zijn volledigheid geopenbaard door Microsofts beveiligingsmanager Jeremy Brown, meldt The Register, maar het gaat kort gezegd om een mogelijkheid om binnen twee transacties meerdere keren betaald te kunnen krijgen van een klant. Door het niet intern te melden overtraden de medewerkers van Microsoft Vulnerability Research (MSVR) het bedrijfsbeleid.

Microsoft heeft al jarenlang het beleid dat een ontdekte kwetsbaarheid eerst wordt getoetst op eigen toepassingen. "Het is niet zo dat we de melding blijven vasthouden totdat we het probleem hebben opgelost, maar we willen wel weten of we mogelijk betrokken zijn bij het probleem. Dit omdat we een gelijktijdige oplossing willen coördineren", zei Brown bij de Australische conferentie AusCERT.

Dat geldt niet alleen voor gaten in de eigen software, maar ook betreffende SSL of andere technologie die door vele bedrijven en diensten worden gebruikt.