Saugos klaida leidžia bet kam suklastoti „Microsoft“ darbuotojų el

microsoft-outlook-app.jpg


Tyrėjas aptiko klaidą, leidžiančią bet kam apsimesti „Microsoft“ įmonės el. pašto paskyromis, todėl sukčiavimo bandymai atrodo patikimi ir labiau tikėtina, kad jie apgaudinėja savo taikinius.

Šio rašymo metu klaida nebuvo pataisyta. Siekdamas parodyti klaidą, tyrėjas išsiuntė el. laišką „TechCrunch“, kuris atrodė tarsi išsiųstas iš „Microsoft“ paskyros saugos komandos.

Praėjusią savaitę Vsevolodas Kokorinas, dar žinomas internete kaip Slonser, X (anksčiau vadintas Twitter) parašė, kad rado el. pašto klaidą ir pranešė apie tai Microsoft, tačiau bendrovė atmetė jo pranešimą, pareikšdama, kad negali atkurti jo išvadų. Tai paskatino Kokoriną paviešinti X klaidą, nepateikdamas techninės informacijos, kuri padėtų kitiems ją išnaudoti.

„Microsoft ką tik pasakė, kad negali jos atkurti nepateikę jokios informacijos“, – internetiniame pokalbyje „TechCrunch“ sakė Koroinas. „„Microsoft“ galėjo pastebėti mano tviterį, nes prieš kelias valandas jie vėl atidaromi [sic] viena iš mano ataskaitų, kurią pateikiau prieš kelis mėnesius.

Klaida, anot Kokorin, veikia tik siunčiant el. laišką į „Outlook“ paskyras. Vis dėlto, remiantis naujausia „Microsoft“ pajamų ataskaita, tai yra mažiausiai 400 milijonų vartotojų visame pasaulyje.

Kokorinas sakė, kad paskutinį kartą bendravo su „Microsoft“ birželio 15 d. „Microsoft“ antradienį neatsakė į „TechCrunch“ prašymą pakomentuoti.

„TechCrunch“ neatskleidžia techninių klaidos detalių, siekdama užkirsti kelią piktavaliams įsilaužėliams ja pasinaudoti.

„Nesitikėjau, kad mano pranešimas sulauks tokios reakcijos. Sąžiningai, aš tiesiog norėjau pasidalinti savo nusivylimu, nes ši situacija mane nuliūdino“, – sakė Kokorinas. „Daug kas mane neteisingai suprato ir galvoja, kad aš noriu pinigų ar panašiai. Tiesą sakant, aš tiesiog noriu, kad įmonės neignoruotų tyrėjų ir būtų draugiškesnės, kai bandote jiems padėti.

Nežinoma, ar klaidą rado kas nors kitas, išskyrus Kokoriną, ar ji buvo piktybiškai išnaudota.

Nors šios klaidos grėsmė šiuo metu nežinoma, „Microsoft“ pastaraisiais metais patyrė keletą saugumo problemų, todėl federalinės reguliavimo institucijos ir Kongreso įstatymų leidėjai pradėjo tyrimus.

Praėjusią savaitę „Microsoft“ prezidentas Bradas Smithas liudijo Atstovų Rūmų posėdyje, kai Kinija 2023 m. pavogė JAV federalinės vyriausybės el. laiškų dalį iš „Microsoft“ serverių. Per posėdį Smithas pažadėjo atnaujinti pastangas teikti pirmenybę kibernetiniam saugumui įmonėje po daugybės saugumo problemų.

Mėnesiais anksčiau, sausio mėnesį, „Microsoft“ patvirtino, kad su Rusijos vyriausybe susijusi programišių grupė įsilaužė į „Microsoft“ įmonių el. pašto paskyras, siekdama pavogti informaciją apie tai, ką aukščiausi bendrovės vadovai žinojo apie pačius programišius. Praėjusią savaitę „ProPublica“ atskleidė, kad „Microsoft“ nepaisė įspėjimų apie kritinį trūkumą, kuris vėliau buvo panaudotas Rusijos remiamoje kibernetinio šnipinėjimo kampanijoje, nukreiptoje į technologijų įmonę „SolarWinds“.





Source link

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Fotofilmų kūrimas - Miesto naujienos - Šeimos gydytojai - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Nuotekų valymo įrenginiai - Teniso treniruotės - Pranešimai spaudai -