Блогер из Пекина, известный как ramen-hero, нашел интересный нюанс в работе онлайновых сервисов Microsoft, таких как Outlook.com и OneDrive.com. Хотя сервисы используют HTTPS, уникальный идентификатор любого пользователя можно заполучить без особых проблем.
Используя в качестве трибуны блог под названием Annoyed Microsoft User (Злой пользователь Microsoft), исследователь рассказал, что проблема заключается в уникальных идентификаторах CID. Каждому пользователю сервисов компании присваивается 64-битный числовой ID (вида 039827D56AE85E00), который API Microsoft используют для идентификации пользователя и ассоциации с аккаунтом. Проблема в том, что сервисы технологического гиганта отдают CID в виде обычного текста в URL.
При работе с Outlook.com, OneDrive или при посещении страницы аккаунта Microsoft (даже через HTTPS), CID отображается прямо в адресе URL. Это означает, что перехватить его может любой, кто имеет доступ к DNS-трафику, трафику пользователя или может перехватить TLS handshake. Если жертва использует Tor, CID виден на выходном узле. Если жертва использует прокси, CID обнаружит любой, у кого есть доступ к логам веб-трафика.
Зная CID пользователя, атакующий может узнать дату создания аккаунта Microsoft, ФИО владельца и увидеть его фото. Кроме того, настройки некоторых приложений (таких как «Календарь») доступны публично, а это означает, что хакер может вычислить и местонахождение жертвы. Трафик пользователей, связавших Skype с аккаунтом Microsoft, даже не нужно прослушивать. Достаточно знать имя аккаунта Microsoft, и CID можно получить через приложение People.
В заключение исследователь признает, что возможно его паранойя чересчур сильна, а уязвимость, на самом деле, пустяковая. Ramen-hero призвал всех тех, кого не устраивает подобное положение вещей, писать в Microsoft. Ведь компания с легкостью может исправить данную проблему и перестать демонстрировать ID своих пользователей всему интернету.
Фото: Ben Franske