转载

HTTPS漏洞泄漏微软账户个人信息

HTTPS漏洞泄漏微软账户个人信息

  HTTPS 连接通常可以为用户带来一定程度的私密性和安全性,但是据透露,当用户使用 HTTPS 连接到他们的微软用户帐户页面 Outlook.com 或者 OneDrive.com 的时候,连接泄漏了唯一标识,可用于检索用户姓名和个人资料照片明文。

  该漏洞最早发现由北京一位博主发现,然后由 Ars Technica 测试确认。他们表示,捕获连接 Outlook.com 或者 OneDrive.com Windows 帐户页面的数据包,可以显示主机对 DNS 查询请求,格式为 cid- [用户的 CID] .users.storage.live.com。测试还发现,用于确保服务进程安全的传输层安全交换(SNI)的扩展数据当中也包含了用户的 CID 信息。

  总之,这意味着,该 CID 可用于检索用户的头像,并且也可以经由 OneDrive 站点用于检索用户的帐户显示名称。通过从微软的 Live 服务与 CID 访问元数据,别人也可以检索有关账户上次访问和创建时间信息。相同的元数据可以曝光与 Live 日历应用程序相关信息,包括用户位置信息。

  这类漏洞可能允许其他人使用 CID 作为一个跟踪器,即使在用户使用 Tor 网络连接。从相同的 IP 地址的其它流量来关联对象身份。尽管 Tor 等匿名网络可以掩盖来源点,但是一旦对方脱离 Tor 出口节点,CID 信息可以识别对方身份。

  微软发言人告诉 Ars Technica,该公司已经意识到这个问题,并准备进行修正。  

HTTPS漏洞泄漏微软账户个人信息

HTTPS漏洞泄漏微软账户个人信息

HTTPS漏洞泄漏微软账户个人信息

正文到此结束
Loading...