HTTPS漏洞泄漏微軟賬戶個(gè)人信息

 

該漏洞最早由北京一位博主發(fā)現(xiàn)，然后經(jīng)過(guò)Ars Technica測(cè)試確認(rèn)。他們表示，捕獲連接Outlook.com 或者OneDrive.com Windows帳戶頁(yè)面的數(shù)據(jù)包，可以顯示主機(jī)對(duì)DNS查詢請(qǐng)求，格式為cid- [用戶的CID] .users.storage.live.com。測(cè)試還發(fā)現(xiàn)，用于確保服務(wù)進(jìn)程安全的傳輸層安全交換（SNI）的擴(kuò)展數(shù)據(jù)當(dāng)中也包含了用戶的CID信息。

總之，這意味著，該CID可用于檢索用戶的頭像，并且也可以經(jīng)由OneDrive站點(diǎn)用于檢索用戶的帳戶顯示名稱。通過(guò)從微軟的Live服務(wù)與CID訪問(wèn)元數(shù)據(jù)，別人也可以檢索有關(guān)賬戶上次訪問(wèn)和創(chuàng)建時(shí)間信息。相同的元數(shù)據(jù)可以曝光與Live日歷應(yīng)用程序相關(guān)信息，包括用戶位置信息。

這類漏洞可能允許其他人使用CID作為一個(gè)跟蹤器，即使在用戶使用Tor網(wǎng)絡(luò)連接。從相同的IP地址的其它流量來(lái)關(guān)聯(lián)對(duì)象身份。盡管Tor等匿名網(wǎng)絡(luò)可以掩蓋來(lái)源點(diǎn)，但是一旦對(duì)方脫離Tor出口節(jié)點(diǎn)，CID信息可以識(shí)別對(duì)方身份。

微軟發(fā)言人告訴Ars Technica，該公司已經(jīng)意識(shí)到這個(gè)問(wèn)題，并準(zhǔn)備進(jìn)行修正。