HTTPS 漏洞泄漏微软账户个人信息

HTTPS连接通常可以为用户带来一定程度的私密性和安全性,但是据透露,当用户使用HTTPS连接到他们的微软用户帐户页面Outlook.com或者OneDrive.com的时候,连接泄漏了唯一标识,可用于检索用户姓名和个人资料照片明文。

该漏洞最早发现由北京一位博主发现,然后由Ars Technica测试确认。他们表示,捕获连接Outlook.com 或者OneDrive.com Windows帐户页面的数据包,可以显示主机对DNS查询请求,格式为cid- [用户的CID] .users.storage.live.com。测试还发现,用于确保服务进程安全的传输层安全交换(SNI)的扩展数据当中也包含了用户的CID信 息。

总之,这意味着,该CID可用于检索用户的头像,并且也可以经由OneDrive站点用于检索用户的帐户显示名称。通过从微软的 Live服务与CID访问元数据,别人也可以检索有关账户上次访问和创建时间信息。相同的元数据可以曝光与Live日历应用程序相关信息,包括用户位置信 息。

这类漏洞可能允许其他人使用CID作为一个跟踪器,即使在用户使用Tor网络连接。从相同的IP地址的其它流量来关联对象身份。尽管Tor等匿名网络可以掩盖来源点,但是一旦对方脱离Tor出口节点,CID信息可以识别对方身份。

微软发言人告诉Ars Technica,该公司已经意识到这个问题,并准备进行修正。





文章转载自 开源中国社区[https://www.oschina.net]

时间: 2024-10-02 04:44:54

HTTPS 漏洞泄漏微软账户个人信息的相关文章

20年历史的bug被发现会泄漏微软 Live 账号登录信息

1997年发现的微软自动认证漏洞从来没有修复过,现在研究人员发现该漏洞能在Windows 8和Windows 10下被利用泄漏微软 Live 账号的登录信息.漏洞会曝光用户的登录名和密码的NTLMv2哈希值,而在GPU加速之下破解哈希密码不再变得困难. 要触发这个漏洞,攻击者需要设置一个网络共享,然后诱骗受害者访问任何共享IP,比如在受害者访问的网站上嵌入指向共享IP的图像.当用户使用微软的产品尝试访问该链接时它会向其发送微软的账号.安全研究人员建议不要使用微软的浏览器或邮件客户端访问网络共享.

Win8微软账户绑定手机号怎么更换

  1.首先进入帐户中心-安全设置 地址:https://account.live.com/proofs/Manage?mkt=zh-CN; 2.删除您已经弃用的手机号码,随后点击"添加安全信息"链接,添加您的新号码. 如下图所示:   以上就是快速更换Win8系统微软账户绑定手机号的方法,我们只要删除旧的绑定手机号,就可以用新的手机号重新绑定. 注:更多精彩教程请关注三联电脑教程栏目,三联电脑办公群:189034526欢迎你的加入

教你完成微软账户两步验证功能

4月18日,微软正式推出了提高微软账户安全的新解决方案--两步验证功能,设置"两步验证"后,当用户在任何设备客户端(添加到信任列表中的除外)上登录Microsoft帐户时,除了输入密码之外还会被提示要输入一个由手机应用"验证器"(Authernticator)随机生成的安全码,类似于现在网游运营商所普遍采用的各类手机安全码和"令牌"服务. 实际上在一年多以前,微软就开始对某些重要的操作引入两步验证,如编辑信用卡信息或通过SkyDrive在非个人的

Windows 8系统系统更换微软账户的方法

第一步.在超级按钮-设置-更改电脑设置-用户中,点击"切换到本地用户",按照提示输入密码后点击"下一步",由于接下来还需要切换到新的微软账户,在这里我对本地账户未设置密码,接下来,按照提示注销并完成设置后,即可以本地账户登入,登入到本地账户后,再在同样的位置切换为微软账户; 第二步.按照提示输入邮箱后,点击"下一步",输入新账户的密码,为账户设置附加安全选项,此处的更改将会同步到云端,点击"完成"即可切换到微软账户. 第三步.

Win8如何修改微软账户绑定的手机号码?

  现在大家经常会遇到的一种情况,就是刚开始绑定的手机号之后不用了,但是需要输入手机验证码的时候,无从得知,所以想要得到验证码就要更换绑定的手机号.这次小编也遇到这样的情况,就是win8微软账号注册的手机号不用了,如果系统遇到了什么问题或者需要更改什么信息的话,都需要输入验证码才可以登入,现在手机号码已经更换了,怎么修改绑定的手机呢?下面小编就来教大家Win8更换微软账户绑定手机号的方法. 操作步骤: 1.首先进入帐户中心-安全设置  2.删除您已经弃用的手机号码,随后点击"添加安全信息&quo

Win8微软账户注册详细步骤

  1.微软账户介绍: 由于Windows 8 采用云连接,所以你的Micrisoft账户就像一台便携式的个人电脑,随时出现在你使用的任何Windows 8 设备上.使用Microsoft账户登录安装有Windows 8系统的电脑之后,你即可与所有关注的人脉.文件和设置相链接.你可以将账户的服务连接至Microsoft账户,服务内容包括Hotm.照片.音乐等. 与此同时,你可以随时访问你在微软网盘Skydr或其它服务项目上的所有照片.文档和其他文件.登录微软账户之后,你的个性化设置.开始屏幕.浏

Windows 10系统下创建微软账户及本地账户互相切换方法(非预览版系统)

知识点分析: 首次使用账户取决于首次配置新建的账户   一.为创建微软账户方法.   二.本地账户切换微软账户方法.   三.微软账户切换本地账户方法. 操作步骤: 一.为创建微软账户方法   1. 点击"开始菜单"--选择当前账户头像--选择"更改账户设置",如图:       2. 在弹出的设置页面中选择"你的账户"--单击"改用Microsoft账户登录",如果当前没有微软账户在点击后出现的窗口中选择"创建一个

联网玩具CloudPets 泰迪熊泄漏数百万语音信息

本文讲的是联网玩具CloudPets 泰迪熊泄漏数百万语音信息, 智能玩具引发全民恐慌 仅仅几周前,一款名为"Cayla"的智能玩偶不仅遭到了德国的禁售,也引起了全球各地父母的担忧,他们主要担忧的一个潜在威胁就是:孩子和其他人之间的对话会被记录和转发. 其实,Cayla并不是第一个引发大规模担忧的联网玩具,大概一年多前一款名为"Hello Barbie"的玩具也因为同样的原因登上舆论风口.说实话,智能玩具确实是时代发展衍生的"很酷"的产物,但是我

乌云漏洞曝大量12306用户信息泄露涉及身份证号和电话

乌云漏洞曝大量12306用户信息泄露 涉及身份证号和电话12月25日消息,漏洞报告平台乌云漏洞今日发布报告称,大量 12306用户数据在互联网传播,包括身份证及电话等敏感信息.乌云在报告中透露,目前泄露的数据包括用户登录账号.密码.信用卡信息.购买记录.常用联系人的电话及身份证号.乌云表示,泄露数据已在传播售卖,但目前无法确认是12306官方还是第三方抢票平台泄漏,希望官方立即接入调查并且通知已泄密用户修改密码.(周小白)乌云网对该漏洞的描述:http://www.wooyun.org/bugs