Identyfikatory kont Microsoft nie są odpowiednio zaszyfrowane

Identyfikatory kont Microsoft nie są odpowiednio zaszyfrowane

Krzysztof Sulikowski
23:07
06.10.2015
0 komentarzy
1850 wyświetleń

Bezpieczeństwo protokołu HTTP jest dziś palącą kwestią. Użytkownicy oczekują odpowiedniego poziomu zabezpieczeń i prywatności, gdy w grę wchodzi dostęp do usług i serwisów online. Sądzisz, że wszystkie twoje dane są odpowiednio zaszyfrowane, kiedy korzystasz z webowego klienta poczty? Niekoniecznie. Dowiedziono, że podczas połączenia z kontem Microsoft, także w serwisach Outlook.com czy OneDrive.com i za pośrednictwem HTTPS, unikatowy identyfikator użytkownika może zostać łatwo przechwycony.

Co to oznacza? Mając dostęp do identyfikatora w formie ciągu znaków (bez szyfrowania), możliwe jest pozyskanie nazwiska (czy raczej podanej nazwy użytkownika) i jego zdjęcia profilowego. Zostało to dowiedzione przez pewnego blogera z Pekinu. Sprawę zbadał portal ArsTechnica, który następnie napisał: "Przechwycone pakiety z połączeń z Outlook.com, stroną konta Windows i OneDrive.com ujawniają zapytania DNS o hosta z formatem cid-[CID użytkownika].users.storage.live.com". Wiadomo również, że CID jest osadzony w rozszerzeniu SNI (Server Name Indication), standardowo przesyłanym w ramach "powitania" Transport Layer Security, które zabezpiecza sesje w wybranych serwisach.

Mając dostęp do identyfikatora, teoretycznie mamy również dostęp do metadanych z serwisu Microsoft Live. Informacje, które można w ten sposób uzyskać, to nie tylko nazwa użytkownika i jego zdjęcie profilowe, lecz również data ostatniego logowania i utworzenia konta. Prawdopodobnie najbardziej wrażliwe dane to te, powiązane z aplikacją Live Calendar. Gdy znajdą się w niepowołanych rękach, możliwe jest ustalenie lokalizacji użytkownika. Ten rodzaj podatności pozwala śledzić ofiarę, nawet gdy ta posługuje się siecią TOR. Możliwe jest także powiązanie tożsamości użytkownika z adresem IP. Gdy korzysta on z sieci TOR, zlokalizowanie jej węzła nie powinno stanowić problemu. Podobnych scenariuszy może być teoretycznie dużo więcej.

Rzecznik prasowy Microsoftu potwierdził, że firma jest świadoma istnienia podatności i przygotowuje odpowiednią poprawkę.


Spodobał Ci się ten artykuł? Podziel się z innymi!

Źródło: http://www.neowin.net/news/your-microsoft-account-identifier-is-stored-in-plain-text-exposing-you-onlinehttp://www.neowin.net/news/your-micr

Polecamy również w kategorii Bezpieczeństwo

Komentarze

Skomentuj

Autor