Una vulnerabilidad podría permitir a los atacantes reiniciar y secuestrar las cuentas de Passport, según se ha afirmado en una lista de discusión de software en Internet.

La vulnerabilidad es un código utilizado para ayudar a los usuarios que han olvidado la clave secreta para acceder a Passport, y que da acceso a cuentas de correo, entre otras. La pregunta secreta es un código que se emplea para usuarios que olvidan la clave y al responder la pregunta que ellos mismos formularon, muestra la respuesta que contiene el código y, a través de éste, se puede reiniciar la clave secreta de acceso y manipularla, según Víctor Manuel Álvarez Castro, consultor de seguridad. Según Álvarez Castro, “esto ha sido desde hace un par de años, desde que la característica de clave secreta fue implementada”.

La vulnerabilidad requiere que el atacante conozca, al menos, la dirección de e-mail y país de origen del propietario de la cuenta.