Saugos klaida leidžia bet kam suklastoti „Microsoft“ darbuotojų el

Tyrėjas aptiko klaidą, leidžiančią bet kam apsimesti „Microsoft“ įmonės el. pašto paskyromis, todėl sukčiavimo bandymai atrodo patikimi ir labiau tikėtina, kad jie apgaudinėja savo taikinius.

Šio rašymo metu klaida nebuvo pataisyta. Siekdamas parodyti klaidą, tyrėjas išsiuntė el. laišką „TechCrunch“, kuris atrodė tarsi išsiųstas iš „Microsoft“ paskyros saugos komandos.

Praėjusią savaitę Vsevolodas Kokorinas, dar žinomas internete kaip Slonser, X (anksčiau vadintas Twitter) parašė, kad rado el. pašto klaidą ir pranešė apie tai Microsoft, tačiau bendrovė atmetė jo pranešimą, pareikšdama, kad negali atkurti jo išvadų. Tai paskatino Kokoriną paviešinti X klaidą, nepateikdamas techninės informacijos, kuri padėtų kitiems ją išnaudoti.

„Microsoft ką tik pasakė, kad negali jos atkurti nepateikę jokios informacijos“, – internetiniame pokalbyje „TechCrunch“ sakė Koroinas. „„Microsoft“ galėjo pastebėti mano tviterį, nes prieš kelias valandas jie vėl atidaromi [sic] viena iš mano ataskaitų, kurią pateikiau prieš kelis mėnesius.

Klaida, anot Kokorin, veikia tik siunčiant el. laišką į „Outlook“ paskyras. Vis dėlto tai yra mažiausiai 400 milijonų vartotojų visame pasaulyje, pagal naujausią „Microsoft“ pajamų ataskaitą.

Kokorinas sakė, kad paskutinį kartą bendravo su „Microsoft“ birželio 15 d. „Microsoft“ antradienį neatsakė į „TechCrunch“ prašymą pakomentuoti.

„TechCrunch“ neatskleidžia techninių klaidos detalių, siekdama užkirsti kelią piktavaliams įsilaužėliams ja pasinaudoti.

„Nesitikėjau, kad mano pranešimas sulauks tokios reakcijos. Sąžiningai, aš tiesiog norėjau pasidalinti savo nusivylimu, nes ši situacija mane nuliūdino“, – sakė Kokorinas. „Daug kas mane neteisingai suprato ir galvoja, kad aš noriu pinigų ar panašiai. Tiesą sakant, aš tiesiog noriu, kad įmonės neignoruotų tyrėjų ir būtų draugiškesnės, kai bandote jiems padėti.

Nežinoma, ar klaidą rado kas nors kitas, išskyrus Kokoriną, ar ji buvo piktybiškai išnaudota.

Nors šios klaidos grėsmė šiuo metu nežinoma, „Microsoft“ pastaraisiais metais patyrė keletą saugumo problemų, paskatino abiejų federalinių reguliavimo institucijų tyrimus ir Kongreso įstatymų leidėjai.

Praėjusią savaitę „Microsoft“ prezidentas Bradas Smithas davė parodymus teismo posėdyje po Kinijos pavogė dalį JAV federalinės vyriausybės el iš „Microsoft“ serverių 2023 m. Posėdyje Smithas pažadėjo atnaujinti pastangas teikti pirmenybę kibernetiniam saugumui įmonėje po daugybės saugumo problemų.

Mėnesiais anksčiau sausio mėnesį „Microsoft“ patvirtino, kad Rusijos vyriausybė susiejo su įsilaužimo grupe įsilaužė į „Microsoft“ įmonių el. pašto paskyras pavogti informaciją apie tai, ką aukščiausi įmonės vadovai žinojo apie pačius programišius. Ir praėjusią savaitę „ProPublica“ atskleidė kad „Microsoft“ nepaisė įspėjimų apie kritinį trūkumą, kuris vėliau buvo panaudotas Rusijos remiamoje kibernetinio šnipinėjimo kampanijoje, nukreiptoje į technologijų įmonę „SolarWinds“.