Algunos sites de Microsoft exponen el perfil privado del usuario

Escrito por Luis Torroba
Seguridad
0

Cuando navegamos por internet entendemos que hay sitios en los que estamos más seguros que en otros. Varias de esas webs donde creemos que nuestra privacidad está más o menos garantizada son los servicios de Microsoft como Outlook o OneDrive, más incluso cuando usamos el protocolo HTTPS. Pues bien, un blogger de Pekín ha demostrado que varios sites de Microsoft son fácilmente vulnerables, dejando a disposición de quien quiera nuestros datos privados.

Cuando nos conectamos a nuestra cuenta de servicios como Outook o OneDrive de la conexión escapa un identificador único que se puede utilizar para recuperar nuestro nombre y nuestra foto de perfil de una manera sencilla. Este identificador único se llama CID y se expone porque se envía como parte de una búsqueda de nombres de dominio para la dirección del servidor de almacenamiento que contiene datos de perfil y como parte del inicio de una conexión cifrada. De esta manera cualquiera es fácilmente rastreable incluso para quien utiliza la red Tor.

Lo ha descubierto esta semana un bloguero de Pekín, dejando claro que hasta los servicios que creemos seguros no lo son tanto. Un problema que Microsoft debe arreglar cuanto antes.

El agujero de Microsoft

¿Qué se puede hacer con el CID?

Es peligroso que el CID se exponga de esta manera ya que con él se pueden acceder a datos privados del usuario bastante importantes. Por ejemplo, se puede recuperar la imagen de perfil de usuario y también el nombre de la cuenta. Además, al acceder a los metadatos de servicio de Microsoft Live con el CID, se podría saber cuándo se creó la cuenta y cuándo se accedió a ella por última vez. Pero no solo eso, incluso se podría llegar a saber la ubicación del usuario si la aplicación de Calendario de Microsoft está asociada a la cuenta de Outlook.

Por todo ello, y porque se podría asociar a una dirección IP, entendemos que es un fallo grave que desde Redmond deberían solucionar cuanto antes. De momento, lo único que han comentado es que están al tanto del problema y que se está trabajando en una solución, aunque no han dado una fecha exacta para la liberación del parche.

Como siempre que se descubren cosas similares, las voces que claman por una mayor privacidad en la red se multiplican, alertando que actualmente quien quiera puede tener acceso a datos privados de una manera bastante sencilla. Y esta es una nueva prueba de ello.

Fuente: Ars Technica.

Quizá te interese…

 

Compártelo. ¡Gracias!