Microsoft passa identificação de utilizadores sem qualquer codificação.

Microsoft logo

A Microsoft veio recentemente a público referir que os utilizadores não se têm de preocupar com as questões de privacidade no Windows 10. No entanto quando se acede ao seu website vemos que as preocupações com a privacidade não existem por lá. Daí que será que meras palavras relativas ao Windows 10 são suficientes?

O Windows 10 levantou uma onda de questões relativas a questões de privacidade. Ao ponto de a Microsoft ter vindo recentemente falar sobre o assunto de forma a sossegar os ânimos.

Nesse comunicado, Terry Myerson começa por referir:

“No mundo conectado de hoje, manter a nossa privacidade é um tópico extremamente importante para cada um de nós…”

São palavras sábias e importantes, mas que seriam mais relevantes se nos apercebêssemos que efetivamente a Microsoft se preocupa em colocar segurança naquilo que são dados privados com que a empresa lida.

Mas quando visitamos o website da Microsoft percebemos que palavras é uma coisa… ação é outra!

É que dados que são identificadores únicos atribuídos ao utilizador em serviços como o OneDrive e o Outlook (o CID-ID) são enviados em texto simples, sempre que se acede a uma página no website da empresa.

Ora dado que este é um dado pessoal o seu conhecimento compromete a privacidade do utilizador, e uma vez que o website da Microsoft usa segurança HTTPS por defeito, seria de esperar que esta situação não acontecesse e que este identificador estivesse encriptado. Mas isso nem sempre acontece, e quando há pedidos de DNS os dados são enviados em texto simples, e é aí que a Microsoft expõem o ID do utilizador.

Nesse pedido de DNS, uma String de 64 caracteres contendo o ID do utilizador é enviada como parte do subdomínio (ver imagem em baixo)e isso significa que quem estiver a analisar tráfego de DNS pode obter essa string. E essa string é enviada mesmo quando não há pedidos de DNS, bastando haver troca de chaves TLS.


Mas porque falamos apenas em questões de privacidade e não de segurança? Será que esta string não poderia fazer outro passar-se por terceiros acedendo ao conteúdo, por exemplo, do OneDrive ou dos e-mails do Outlook?

Não… a situação não é tão grave, e o que há é apenas uma quebra de privacidade (apesar de os dados obtidos poderem ser usados em outros esquemas). Na realidade a obtenção da String poderá apenas permitir aceder à foto do perfil, ao nome do utilizador e dados de criação da conta. Nada que na realidade seja verdadeiramente perigoso, mas mesmo assim uma quebra de privacidade.

Ora isto dias depois de declarações que pretendiam assegurar as pessoas que a empresa está comprometida com a privacidade das mesmas… cai mesmo muito mal! E pode colocar mais dúvidas na cabeça das pessoas.

E se formos ver o passado e percebermos que a empresa guardava as passwords dos seus utilizadores da loja online num simples documento de texto… mais dúvidas podem ficar . E daí que seja normal que hajam muitas pessoas preocupadas com as questões de privacidade do windows 10.

ms-leaks-cid

Fonte

Publicidade

Posts Relacionados