Si pensabas que usar ‘HTTPS’ sería suficiente para proteger tu privacidad cuando revisas el correo, piensalo de nuevo. Cuando los usuarios se conectan con su cuenta de usuario de Microsoft, Outlook o OneDrive (incluso usando ‘HTTPS’), la conexión filtra un identificador único que puede ser usado para recuperar su nombre y foto de perfil en el texto plano.
Un identificador único llamado ‘CID’ es expuesto porque es enviado como parte de un ‘Servicio de Nombre de Dominio’ que busca la dirección del servidor que contiene los datos de perfil y como parte de la inicialización de una conexión encriptada. Como resultado, sería usado para conseguir usuarios cuando se conecten a los servicios desde ambos ordenadores y teléfonos, posibilitando incluso la identificación de usuarios cuyas peticiones dejen la red de anonimato Tor.
En un laboratorio de pruebas, Ars confirmó la vulnerabilidad, publicado primero este fin de semana por un blogger de Beijing. Capturar paquetes de conexiones a Outlook, la página de cuenta de Windows, y OneDrive reveló las solicitudes de búsqueda de DNS para un host con el formato cid-[user’s CID here].users.storage.live.com. El CID está también incrustado en los datos de extensión del Servidor de Indicio de Nombre (SNI) que intercambió durante la Capa de Transporte de Seguridad “handshake” que asegura la sesión a los servicios, como Ars confirmó en una inspección de los paquetes.
El CID puede ser usado para recoger la imagen de perfil del usuario, y puede ser usada también el sitio de OneDrive para recoger el nombre de la cuenta de usuario. Accediendo a los metadatos del servicio de Microsoft Live con el CID, alguien podría incluso recoger información sobre cuando se conectó la cuenta por última vez y cuando fue creada. El mismo metadato puede exponer información asociada con la aplicación del calendario, incluyendo la localización del usuario. Pero también puede ser usada como un rastreador único para personas (como un “identificador fuerte” en el lenguaje de la NSA) al lugar de su tráfico de red a medida que fluye por Internet. Este dato puede entonces ser usado para relacionar la identidad de alguien con otro tráfico desde la misma dirección IP. Mientras usar una red de anonimato como Tor ocultaría el punto de origen del tráfico, los datos del CID serían expuestos una vez el tráfico dejase un nodo de salido de Tor.
Ars ha llegado a Microsoft para comentar los datos filtrados. Un portavoz de Microsoft dijo que la compañía es consciente del error y está preparando una respuesta. Cuando haya más información disponible, actualizaremos la historia.
