Un identificador único de los usuarios con cuentas de Microsoft queda expuesto al ser transmitido en texto plano cuando se utilizan sus aplicaciones web, como Outlook, OneDrive o la página de Cuenta de Microsoft. El problema de seguridad radica en que este identificador, llamado CID, puede revelar ciertos datos como la foto, que se puede descargar, el nombre real ingresado y la fecha de creación de la cuenta.

Esto fue reportado hace unos días por el blog Annoyed Mirosoft User, cuyo autor explicó:

Cuando usas una aplicación web gratuita de Microsoft como Outlook.com o OneDrive, o visitas la página de tu cuenta de Microsoft, se realiza una solicitud HTTPS para mostrar tu foto de perfil, lo que parece inocente hasta que notas algo sospechoso: un identificador numérico de tu cuenta es incluido en la parte de nombre del host de la URL, haciéndolo visible a cualquiera que pueda monitorear tu tráfico DNS (cuando no se almacena en caché) o que tenga acceso al registro de tu tráfico web (por ejemplo, cuando usas un servidor proxy.

Posteriormente, el sitio especializado Ars Technica comprobó que el CID se transmite, efectivamente, en texto plano. Esto significa que, para este caso, la conexión HTTPS no es suficiente ya que la identidad del usuario queda expuesta de todas formas.

Microsoft reconoció el problema y le dijo al IB Times: "Los protocolos web originales estaban diseñados para permitir que aplicaciones accedan a ítems públicos de perfil. Los ítems no públicos están protegidos por la autorización controlada por el usuario. Nuestros protocolos recientes son más restrictivos y con el tiempo vamos a eliminar las versiones anteriores".

El CID es un entero de 64 bits, usualmente con formato hexadecimal sin signo, asociado a cada cuenta de Microsoft. Las APIs de Microsoft lo utilizan para identificar a los usuarios, ya que es único para cada uno. Por lo tanto, si se filtra, es posible obtener datos que identifican al dueño de la cuenta, y se puede usar para rastrear sus actividades cuando se conecten desde computadoras o dispositivos móviles.

"Accediendo a los metadatos del servicio de Microsoft Live con el CID, alguien podría obtener información sobre cuándo se accedió por última vez a la cuenta y cuándo fue creada", explica Ars Technica.

De momento, resta esperar a que Microsoft reemplace los protocolos por sus versiones nuevas. Mientras tanto, como recomienda el blogger que hizo el hallazgo inicial, es importante "pensar dos veces" antes de, por ejemplo, compartir un archivo en OneDrive ya que la URL que se genera contiene el CID.