Siber güvenlik Microsoft'un çokca üzerinde durduğu bir konu olarak biliniyor. Ancak bir blogger'ın geçtiğimiz günlerde bilgisayar devinin Outlook.com ve Onedrive kullanıcılarının giriş bilgilerini kolayca açığa çıkartması, Microsoft'un başını epey ağrıtacak gibi görünüyor.
Çin'in Beijing kentinde yaşayan Annoyed Microsoft User isimli blogger, Microsoft sitelerinin kullandığı HTTPS bağlantılarının, bir kullanıcı hesabına girmeye çalıştığında, CID olarak bilinen 16 karakterli kimlik tanıtma bilgilerinin, taşıyıcı adres üzerinde basit text dosyası biçiminde Microsoft sunucularına iletildiğini tespit etti.
Bu oldukça büyük bir sorun, zira CID dosyanız DNS trafiğinizi görebilen herkese açık durumda bulunuyor. Bu sadece hacker'lar değil, ofis, kütüphane, okul gibi yerlerde yönetici haklarına sahip olan herkesin kolayca bazı kimlik bilgilerine ulaşabilmesi anlamına geliyor.
CID adresinin ele geçirilmesi ile Live Service üzerinde bulunan metadataya erişilebilirken, böylece kullanıcı fotoğrafı, kullanıcının gerçek adı, hesabını ne zaman oluşturduğu, konumu ve eğer varsa Takvim uygulamasına ulaşılabiliyor.
OneDrive üzerinde dosya paylaştığınızda CID bilgileri herkese görünür oluyor
OneDrive üzerinde dosya paylaşıldığında kullanıcılara bir dizi numara ve CID bilgileri paylaşılan URL ile birlikte iletiliyor. Bu da dosya paylaşımı yapan kişinin karşı tarafa casusluk yapma konusunda fırsat vermesi anlamına geliyor.
Ayrıca, eğer Microsoft hesabınızı Skype hesabınıza bağladıysanız (Live Service), Microsoft üzerinde kullandığınız ismi bilen birisi kişisel CID bilgilerine kolaylıkla ulaşabilir. Bu da gerçek kimliğinizi anlamak isteyen birisinin IP adresinizden çıkan trafiği eşleştirebilmesini ve sizi ifşa etmesini kolaylaştırıyor.
Eğer Tor benzeri kullanıcı izlerini gizleme sistemi ya da nereden internete girdiğinizi saklayabildiğiniz kişisel sanal ağlardan (VPN) birini kullanıyorsanız konunun sizi etkilemeyeceğini düşünebilirsiniz. Ancak durum o kadar basit değil. Web trafiğiniz Tor'dan çıkarken oluşturulan not ile URL üzerinde bulunan CID bilgilerinize ulaşılabiliyor.
Peki şimdi ne yapacağız?
Blogger'ın bulguları bağımsız olarak Ars Technica tarafından da doğrulandı. Outlook.com ve OneDrive.com Windows hesap sayfaları üzerinde CID bilgilerinin ele geçirilebildiği artık tartışılamaz bir gerçek.
Peki bunun hakkında ne yapabiliriz? Şu anda yapabileceğimiz iki şey bulunuyor. Bunlardan birincisi OneDrive üzerinden dosya paylaşımını durdurmak ya da host dosyasını aşağıda görüldüğü şekilde değiştirmek:
cid-[sizin CID numaranız].users.storage.live.com
Ancak host dosyasını her defasında modifiye etmeye çalışmak can sıkıcı görünüyor. Ayrıca bu çözümün proxy sunucu, gizli network ve mobil cihazlar üzerinde çalışmadığını belirtelim.
Microsoft konuyla ilgili henüz bir açıklama yapmış değil...