Пекинский специалист в сфере ИБ, публикующий свои отчеты под ником ramen-hero, выявил при исследовании бесплатных интернет-сервисов Microsoft — Outlook.com и OneDrive.com — проблемные алгоритмы, открывающие злоумышленникам возможности получать CID, или — уникальный идентификатор для любого пользователя. Такая брешь, как отметил, китаец, остается открытой, даже несмотря на защищенный протокол HTTPS. К слову сказать, скандал вокруг сетевого сервиса Microsoft возник не впервой. Всего пару недель назад американский ИБ-исследователь Уэсли Вайнберг обнаружил на почтовом интернет-портале Outlook.com уязвимости, которые открывали доступ к почтовым ящикам пользователей. Тогда корпорация Microsoft достаточно оперативно — в считанные дни — выпустила патч, а за выявленную угрозу Вайнбергу выдала премию в размере $24 000.
А вот заявление китайца «империя Гейтса» по каким-то причинам либо медлит, либо попросту не реагирует, хотя проблема не менее остра, чем выявленные Вайнбергом угрозы. Отчет ramen-hero о его исследовании впервые был опубликован на популярном в среде ИБ-специалистов блоге Annoyed Microsoft User (Злой пользователь Microsoft – С.Б.) еще на прошлой неделе, и сразу в профессиональном сообществе вызвал широкий резонанс. Так что сам факт молчания Microsoft уже вызывает недоумение у экспертов. В самом отчете ramen-hero, в частности, сказано: «проблема заключается в уникальных идентификаторах CID. Каждому пользователю сервисов компании присваивается 64-битный СID (вида 039827D56AE85E00), который API Microsoft используют для идентификации пользователя и ассоциации с аккаунтом. Проблема в том, что сервисы технологического гиганта отдают CID в виде обычного текста в URL».
Иначе говоря, «вычислив» CID, злоумышленник получает доступ к данным, внесенным при регистрации Microsoft-аккаунта, то есть, к датам, имени пользователя (в большинстве случаев это — реальные Ф.И.О.), аватару (юзерпику) и др. Более того, если для интернет-сессии используется анонимная сеть Tor, то CID пользователя легко определяется в точке выхода из сети. А выложенные на OneDrive файлы пользователя позволяют при отправке по почте — через его URL — выявлять персональный CID владельца, поскольку он доступен в текстовом формате. А по большому счету - он открыт для тех, кто способен перехватывать DNS-трафик, или даже просто получать доступ к логам веб-трафика. В случае использования аккаунта Microsoft при входе в Skype, CID пользователя можно выяснить по никнейму, например, через приложение People.
Ramen-hero призвал по всем вопросам о данной уязвимости связываться непосредственно с техслужбами Microsoft, выразив уверенность, что компания с легкостью может исправить данную проблему и перестать демонстрировать СID своих пользователей всему интернету. При этом он особо отметил, что, возможно, это всего лишь его паранойя, а уязвимость, на самом деле, просто пустяковая, но, тем не менее, тесты подтверждают, что риск доступа к пользовательским данным остается весьма высоким. Однако со стороны Microsoft данный вызов — и по прошествии недели — пока никак не комментируется, что наводит на нелестные для имиджа корпорации размышления.
