Microsoft hesaplarında kritik güvenlik açığı!

Microsoft'un bu iki önemli servisine kayıtlıysanız, haberimiz canınızı fena halde sıkabilir...

Microsoft hesapları için kritik CID açığı

Siber güvenlik Microsoft'un çokca üzerinde durduğu bir konu olarak biliniyor. Ancak bir blogger'ın geçtiğimiz günlerde bilgisayar devinin Outlook.com ve Onedrive kullanıcılarının giriş bilgilerini kolayca açığa çıkartması, Microsoft'un başını epey ağrıtacak gibi görünüyor.

Çin'in Beijing kentinde yaşayan Annoyed Microsoft User isimli blogger, Microsoft sitelerinin kullandığı HTTPS bağlantılarının, bir kullanıcı hesabına girmeye çalıştığında, CID olarak bilinen 16 karakterli kimlik tanıtma bilgilerinin, taşıyıcı adres üzerinde basit text dosyası biçiminde Microsoft sunucularına iletildiğini tespit etti.

Bu oldukça büyük bir sorun, zira CID dosyanız DNS trafiğinizi görebilen herkese açık durumda bulunuyor. Bu sadece hacker'lar değil, ofis, kütüphane, okul gibi yerlerde yönetici haklarına sahip olan herkesin kolayca bazı kimlik bilgilerine ulaşabilmesi anlamına geliyor.

CID adresinin ele geçirilmesi ile Live Service üzerinde bulunan metadataya erişilebilirken, böylece kullanıcı fotoğrafı, kullanıcının gerçek adı, hesabını ne zaman oluşturduğu, konumu ve eğer varsa Takvim uygulamasına ulaşılabiliyor.

OneDrive üzerinde dosya paylaştığınızda CID bilgileri herkese görünür oluyor

OneDrive üzerinde dosya paylaşıldığında kullanıcılara bir dizi numara ve CID bilgileri paylaşılan URL ile birlikte iletiliyor. Bu da dosya paylaşımı yapan kişinin karşı tarafa casusluk yapma konusunda fırsat vermesi anlamına geliyor.

Ayrıca, eğer Microsoft hesabınızı Skype hesabınıza bağladıysanız (Live Service), Microsoft üzerinde kullandığınız ismi bilen birisi kişisel CID bilgilerine kolaylıkla ulaşabilir. Bu da gerçek kimliğinizi anlamak isteyen birisinin IP adresinizden çıkan trafiği eşleştirebilmesini ve sizi ifşa etmesini kolaylaştırıyor.

Eğer Tor benzeri kullanıcı izlerini gizleme sistemi ya da nereden internete girdiğinizi saklayabildiğiniz kişisel sanal ağlardan (VPN) birini kullanıyorsanız konunun sizi etkilemeyeceğini düşünebilirsiniz. Ancak durum o kadar basit değil. Web trafiğiniz Tor'dan çıkarken oluşturulan not  ile URL üzerinde bulunan CID bilgilerinize ulaşılabiliyor.

Peki şimdi ne yapacağız?

Blogger'ın bulguları bağımsız olarak Ars Technica tarafından da doğrulandı. Outlook.com ve OneDrive.com Windows hesap sayfaları üzerinde CID bilgilerinin ele geçirilebildiği artık tartışılamaz bir gerçek.

Peki bunun hakkında ne yapabiliriz? Şu anda yapabileceğimiz iki şey bulunuyor. Bunlardan birincisi OneDrive üzerinden dosya paylaşımını durdurmak ya da host dosyasını aşağıda görüldüğü şekilde değiştirmek:

cid-[sizin CID numaranız].users.storage.live.com

Ancak host dosyasını her defasında modifiye etmeye çalışmak can sıkıcı görünüyor. Ayrıca bu çözümün proxy sunucu, gizli network ve mobil cihazlar üzerinde çalışmadığını belirtelim.

Microsoft konuyla ilgili henüz bir açıklama yapmış değil...

Onur Seven

Okuyucu Yorumları

Toplam 6 Yorum

Bu benim canımı oldukça sıktı.Böyle bir hatanın olmaması lazımdı

Bizim bu konuda yapabileceğimiz pek bir şey yok. Microsoft gerekli önlemleri alacaktır. iCloud skandalından sonra zaten hiç bir servise fazla güvenilmemesi gerektiği anlaşılmıştır bence.

iki ms mail hesabımada ulaşamıyorum yaklaşık 15yıllık hesaplar ve ikiside dorulama kodu istiyor kodu ikisi birbirine gönderiyor giremiyorum tel no kayıtlı değil ms dandik güvenlik sistemi bukadar hesaplar erişilmez durumda kurtarma formu için de ne yazdığımı nerden hatırlayım 15 yıl geçmiş elimde patladı.

Rezalet?? En az yirmi karakter yaz diye direnmekte chip için rezalet ??

şaka gibi bir şey resmen şaka gibi

MERHABALAR bahsedilen konu üzerinde çalışmalar devam etmektedir, kişi bilgilerin korunması kanunda yer almaktadır, 01.01.2016 tarihi itibariyle Microsoft'un ciddi çalışmalarının olduğunu bilmemizde fayda var, tabiki Microsoft'un bu tür güvenlik konuları üzerinde çalışmaları 2 yıldır bulunmakta ARGE çalışmalarının son aşamasındadır.Mutlak suretle konu hakkında ve yenilikler konusunda açıklama yapılacaktır.

Sen de yorum yaz

CHIP'i Takip edin
E-Posta listemize katılın
CHIP Dergi Mobil Cihazınızda

İlginizi çekebilir