close
企業趨勢資訊保安

用 HTTPS 一樣無效 黑客可偷 Outlook 、OneDrive 用戶名字和頭像

為了保護使用者連線安全,建立連線時使用 HTTPS 是必然之選,但即使用了 HTTPS 也不是無憂無慮。最近發現即使用家透過 HTTPS 連線至 Microsoft 帳戶頁、Outlook.com 或 Onedrive.com 時,仍會泄露用家的唯一標式符(unique identifier),其他人可從中獲得姓名和個人頭像。

ms

 

用 CID 偷取用戶名稱和個人頭像

雖然有使用 HTTPS,但唯一標式符,即 CID 仍然泄露。原因是 CID 是以 DNS lookup 的一部分傳送,DNS lookup 會尋找儲存了個人資料的伺服器的地址; CID 也是加密連線初始化的一部分。所以,當用家透過電腦或流動裝置連接服務時,CID 就可以追蹤用家個人資料。

外國媒體 Ars Technica 做了一次實驗,證實了這個方法。從與 Microsoft 帳戶頁、Outlook.com 或 Onedrive.com 連線截獲的封包(packet)中,可以看到 DNS lookup 請求是以 cid-[用家的 CID ].users.storage.live.com 呈現。在 TSL 進行「交握」(handshake)交換資料時,CID 也會在 Server Name Indication(SNI)中顯示。

ms-leaks-cid

 

CID 可以獲得用家的個人頭像;透過 OneDrive 也可以獲得用家的展示名稱。如果人們以 CID 讀取於 Microsoft Live 服務的元數據(Metadata),也可以得到帳戶的建立和最後登入日期,相同的元數據也可以泄露 Live Calendar 的資料。微軟指他們已知悉事件,並準備回應。

Source : Ars technica

 

Tags : MicrosoftOneDriveoutlook
Dennis Ma

The author Dennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。

Leave a Response