Generalmente los servicios gratuitos se caracterizan por ser muy seguros. Por años todos nos hemos beneficiado de aplicativos online como el correo electrónico o almacenamiento en la nube; sin embargo siempre existen fugas de información o vulnerabilidades que los usuarios experimentados detectan y que ponen en riesgo la privacidad de las personas.
El caso de vulnerabilidad estas semana fue publicado en un blog especializado en Microsoft en el cual se encontró que cada vez que accedemos a los servicios de Microsoft como Outlook o OneDrive a pesar de que la comunicación se realiza por medio de un protocolo seguro como lo es el HTTPS la petición inicial para cargar la página contiene un dato particularmente importante que se puede ver en texto plano no encriptado. Se trata del ID único de cuenta de Microsoft de la persona.
El ID único de cuenta, también conocido como CID es un numero de 64 bits en formato hexadecimal que asocia a una persona con su cuenta de Microsoft. La petición de carga de la pagina que contiene el CID puede ser interceptada por cualquier persona que tenga acceso al trafico DNS de la red en la que se encuentra el usuario.
Para tranquilidad de todos, este ID de cuenta no representa un problema de seguridad mayor, pues con el mismo, solo se pueden obtener datos generales del dueño de la cuenta, como su foto de contacto, nombre de usuario y fecha de creación de la misma. No es como si se pudiera acceder a tu cuenta de correo o tus archivos en la nube con el ID pero en todo caso Microsoft debería replantearse un cambio en el protocolo para no enviar en texto plano los IDs de sus usuarios.