Ένας Κινέζος προγραμματιστής γνωστός μόνο με το όνομα ramen-hero επισήμανε το γεγονός ότι η Microsoft διαρρέει το αναγνωριστικό CID σε μορφή απλού κειμένου όταν εκτελούνται ερωτήματα DNS, ένα ειδικό κομμάτι πληροφοριών το οποίο οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν για να προσδιορίσουν την κυκλοφορία που προέρχεται από ένα συγκεκριμένο άτομο / λογαριασμό .
Το πρόβλημα μπορεί να βρεθεί στα Outlook.com, OneDrive και τη σελίδα λογαριασμού της Micrοsoft, όπου παρά την παρουσία μιας σύνδεσης HTTPS, το CID που συνδέεται με κάθε λογαριασμό ενσωματώνεται στη διεύθυνση URL.
Όπως εξηγεί ο ramen-hero, ένας εισβολέας ή ένα κυβερνητικό γραφείο παρακολούθησης της κίνησης DNS μπορεί εύκολα να εντοπίσει τις συνδέσεις που προέρχονται από ένα άτομο με βάση το CID τους.
Το πρόβλημα είναι ότι αυτό το CID είναι μοναδικό για κάθε λογαριασμό χρήστη και επιτρέπει στους επιτιθέμενους να συνδέουν διάφορες υπηρεσίες της Microsοft με χρήστες που θα ήθελαν να διατηρήσουν την ιδιωτική ζωή τους για διάφορους λόγους.
Το CID μπορεί να αποκαλύψει την εικόνα του λογαριασμού ενός ατόμου, να εμφανίσει το όνομα που επισυνάπτεται σε κάθε λογαριασμό καθώς και την ημερομηνία δημιουργίας του λογαριασμού.
Επιπλέον, χρησιμοποιώντας κάποια κόλπα-κώδικα, το CID μπορεί επίσης να αποκαλύψει την τοποθεσία του ατόμου μέσω μιας εφαρμογής Ημερολογίου, η οποία εμφανίζει δημοσίως τα CID και τις προβλέψεις του καιρού. Αν ο χρήστης λαμβάνει πληροφορίες για τον καιρό στην ημερολογιακή εφαρμογή, τότε το αναγνωριστικό τοποθεσίας για τις καιρικές συνθήκες μπορεί να χρησιμοποιηθεί αξιόπιστα για να ανιχνεύει καθημερινά την τοποθεσία του χρήστη.
Επεκτεινόμενοι στον τομέα έρευνας του ramen-hero, άλλοι χρήστες έχουν επίσης επισημάνει ότι, επειδή το CID είναι μέρος του domain name σε διάφορες επικοινωνίες, οι επιτιθέμενοι δεν χρειάζεται απαραιτήτως να ελέγχουν την κυκλοφορία DNS.
Το CID έχει, επιπλέον, διαρρεύσει κατά τις TLS handshakes ακόμα και σε Tor κυκλοφορία, αν παρακολουθείται ο κόμβος εξόδου.
«Αν έχετε συνδέσει τον Microsoft λογαριασμό σας με τον Skype λογαριασμό σας», λέει ο ramen-hero, «όποιος γνωρίζει κύριο ψευδώνυμο του λογαριασμού σας της Micrοsoft μπορούν επίσης να αποκτήσει το CID σας χρησιμοποιώντας την εφαρμογή People.»
Αυτό ανοίγει την πόρτα σε σοβαρά προβλήματα προστασίας της ιδιωτικής ζωής από επιτιθέμενους και εκείνες οι ενοχλητικές κυβερνητικές υπηρεσίες μπορούν τώρα να διασυνδεθούν την κίνηση του Διαδικτύου με μεμονωμένα άτομα και να τα παρακολουθούν.
Αυτό που πρέπει να κάνει η Micrοsoft σε αυτή την κατάσταση είναι να μην προσθέσει το CID σε μορφή απλού κειμένου στο εσωτερικό των URLs και να προστατεύσει τα Web και API ερωτήματα ώστε να μην αποκαλύπτουν προσωπικές και αναγνωρίσιμες πληροφορίες από το CID του χρήστη.
