Problemi nella sicurezza di Microsoft. La scorsa settimana il ricercatore Vsevolod Kokorin, conosciuto online come Slonser, ha rivelato di aver trovato un bug che permette a criminali e malintenzionati di utilizzare gli account di posta dell’azienda per rendere credibili gli attacchi di phishing e aumentare le probabilità di ingannare le vittime. Una vulnerabilità pericolosa, che Kokorin ha segnalato direttamente a Microsoft, senza però avere alcuna risposta in cambio – motivo per cui ha deciso di condividere la notizia del bug su X -.
X content
This content can also be viewed on the site it originates from.
“Microsoft ha semplicemente detto di non essere in grado di replicare il problema, senza fornire alcun dettaglio”, ha raccontato il ricercatore in un’email inviata a TechCrunch. Eppure, il bug sembra persistere, anche se può essere sfruttato soltanto quando si inviano email agli account di posta Outlook – che comunque risultano essere utilizzati da ben 400 milioni di utenti in tutto il mondo -. Questo significa che, fingendosi uno qualunque dei dipendenti di Microsoft, i criminali hanno la possibilità di truffare milioni di vittime, chiedendo loro di fare qualunque cosa desiderino: concludere un acquisto così da lasciare i dati della propria carta di credito, compilare un form di contatto così da accedere ai loro dati personali e via dicendo.
Insomma, la vulnerabilità di Microsoft non è da sottovalutare, anche se la compagnia non sembra preoccuparsene. “Non mi aspettavo che il mio post suscitasse una tale reazione. Onestamente, volevo solo condividere la mia frustrazione perché questa situazione mi ha reso triste – ha scritto Kokorin dopo aver condiviso la notizia del bug su X -. Molte persone mi hanno frainteso e pensano che io voglia soldi o cose del genere. In realtà, voglio solo che le aziende non ignorino i ricercatori e che siano più amichevoli quando si cerca di aiutarli”. In ogni caso, per quanto Kokorin possa essere dispiaciuto, questa non è certo la prima volta che Microsoft ignora le segnalazioni che riguardo le vulnerabilità di sicurezza dei suoi prodotti.
Proprio la settimana scorsa, per esempio, ProPublica ha rivelato che Microsoft non ha tenuto conto degli avvertimenti su una falla critica che è stata poi sfruttata in una campagna di cyberspionaggio sostenuta dai russi che ha preso di mira l’azienda tecnologica SolarWinds. Una situazione scomoda, che potrebbe ripetersi nel caso in cui la compagnia non dedichi troppa attenzione alle segnalazioni dei ricercatori e degli esperti di sicurezza.
Fonte : Wired
