Bir araştırmacı, herkesin Microsoft kurumsal e-posta hesaplarını taklit etmesine olanak tanıyan, kimlik avı girişimlerinin güvenilir görünmesine ve hedeflerini kandırma olasılığının artmasına neden olan bir hata buldu.
Bu yazının yazıldığı an itibarıyla hata düzeltilmedi. Hatayı göstermek için araştırmacı TechCrunch’a Microsoft’un hesap güvenlik ekibinden gönderilmiş gibi görünen bir e-posta gönderdi.
Geçtiğimiz hafta, internette Slonser olarak da bilinen Vsevolod Kokorin, X’te (eski adıyla Twitter) e-posta sahtekarlığı hatasını bulduğunu ve bunu Microsoft’a bildirdiğini yazdı, ancak şirket, bulgularını yeniden üretemeyeceğini söyleyerek raporunu reddetti. Bu durum, Kokorin’in, başkalarının bu hatayı istismar etmesine yardımcı olacak teknik ayrıntıları vermeden, X’teki hatayı duyurmasına neden oldu.
Koroin, TechCrunch’a çevrimiçi bir sohbette “Microsoft, herhangi bir ayrıntı vermeden bunu yeniden üretemeyeceklerini söyledi” dedi. “Microsoft tweetimi fark etmiş olabilir çünkü birkaç saat önce yeniden açıldılar [sic] birkaç ay önce sunduğum raporlarımdan biri.”
Kokorin’e göre hata, yalnızca e-postayı Outlook hesaplarına gönderirken çalışıyor. Yine de bu, tüm dünyada en az 400 milyon kullanıcının bulunduğu bir havuzdur. Microsoft’un son kazanç raporuna göre.
Kokorin, Microsoft’u en son 15 Haziran’da takip ettiğini söyledi. Microsoft, Salı günü TechCrunch’ın yorum talebine yanıt vermedi.
TechCrunch, kötü niyetli bilgisayar korsanlarının bu hatadan yararlanmasını önlemek amacıyla hatanın teknik ayrıntılarını açıklamıyor.
“Yazımın bu kadar tepki alacağını beklemiyordum. Açıkçası bu durum beni üzdüğü için hayal kırıklığımı paylaşmak istedim” dedi Kokorin. “Birçok insan beni yanlış anladı ve benim para ya da buna benzer bir şey istediğimi düşünüyor. Aslında şirketlerin araştırmacıları görmezden gelmemelerini ve onlara yardım etmeye çalıştığınızda daha arkadaş canlısı olmalarını istiyorum.”
Hatayı Kokorin dışında birinin mi bulduğu yoksa kötü niyetli olarak mı kullanıldığı bilinmiyor.
Bu hatanın tehdidi şu anda bilinmemekle birlikte, Microsoft son yıllarda çeşitli güvenlik sorunları yaşadı ve bu durum hem federal düzenleyiciler hem de yetkililer tarafından soruşturma yapılmasına yol açtı. Kongre milletvekilleri.
Geçen hafta Microsoft başkanı Brad Smith Meclis duruşmasında ifade verdi Çin, 2023’te Microsoft’un sunucularından ABD federal hükümetinin e-postalarının bir bölümünü çaldıktan sonra. Duruşmada Smith, bir dizi güvenlik utancından sonra şirkette siber güvenliğe öncelik verme yönünde yeni bir çaba sözü verdi.
Ocak ayından aylar önce Microsoft, Rus hükümetiyle bağlantılı bir bilgisayar korsanlığı grubunun, şirketin üst düzey yöneticilerinin bilgisayar korsanları hakkında bildiklerine ilişkin bilgileri çalmak için Microsoft’un kurumsal e-posta hesaplarına sızdığını doğruladı. Ve geçen hafta, ProPublica ortaya çıktı Microsoft’un, daha sonra teknoloji şirketi SolarWinds’i hedef alan Rusya destekli siber casusluk kampanyasında istismar edilen kritik bir kusur hakkındaki uyarıları dikkate almadığı belirtildi.
