Wystarczy jeden link, aby poznać niektóre dane użytkownika konta Microsoft
Bezpieczeństwo użytkowników i ochrona prywatności to coraz częściej poruszane kwestie. Firmy muszą o nich pamiętać nie tylko przy zbieraniu danych, ale także przy budowie własnych systemów i usług internetowych. Pewien chiński bloger zauważył, że Microsoft w tym przypadku popełnił pewien poważny błąd, który naraża niektóre z naszych danych na ujawnienie przez osoby niepowołane.
Sprawa dotyczy identyfikatora użytkownika (CID), jakim posługują się usługi udostępniane przez Microsoft i została szerzej opisana na stronie odkrywcy o wymownej nazwie „Annoyed Microsoft User”. Korporacja posługuje się w adresach identyfikatorami całkowitoliczbowymi, 64-bitowym intem przedstawianym w formie szesnastkowej. Teoretycznie nie stanowi to problemu, bo przecież witryny korzystają z HTTPS. W praktyce jest jednak inaczej, bo ze względu na ruch DNS i serwery proxy identyfikator może uzyskać osoba niepowołana.
Atakujący chcący poznać nasz identyfikator może monitorować ruch DNS np. w bibliotece, na uczelni, ale również w domu, bo odpowiednie informacje posiada dostawca internetowy. Niebezpieczne są także serwery proxy, ich logi zawierają dane o hostach, a to oznacza, że także nasz identyfikator. Nawet gdy dane z DNS pochodzą z pamięci wewnętrznej, fragment zawierający nazwę hosta nie jest zaszyfrowany i wynika to z samego sposobu działania negocjacji szyfrowanego połączenia. Sprawy nie ułatwiają i linki do materiałów udostępnianych: jeżeli przekażemy komuś łącze do materiału umieszczonego w OneDrive, dzięki niemu pozna on nasz identyfikator.
Udostępnianie CID nie byłoby żadnym problemem, gdyby nie fakt, iż jest on wykorzystany w innych usługach. Posiadając identyfikator, a następnie przechodząc na odpowiednie strony i analizując nagłówki, możemy bardzo łatwo uzyskać zdjęcie przypisane do konta, dowiedzieć się, jakie jest imię i nazwisko danej osoby, a także kiedy utworzyła ona konto. Jeżeli ofiara korzysta z kalendarza udostępnianego w ramach usługi Outlook i uruchomi wyświetlanie informacji pogodowych, atakujący może nawet przechwycić informacje o jej lokalizacji, będzie więc mógł uzyskać jeszcze więcej danych.
Sam autor odkrycia zaznacza, że ma on nieco paranoidalne podejście i nie każdemu problemy te będą przeszkadzać. Microsoft powinien zmienić sposób udostępniania łącz, a przede wszystkim ich budowę: publikowanie wewnętrznego identyfikatora użytkownika wykorzystywanego w różnych innych miejscach całej infrastruktury nie jest najlepszym rozwiązaniem. Użytkownicy obawiający się wykorzystania tego przeciwko nim powinni zmodyfikować systemowy plik host i przekierowywać jego ruch na komputer lokalny, aby adres nie był nigdzie udostępniany.
