Um pesquisador encontrou um bug que permite que qualquer pessoa se faça passar por contas de e-mail corporativas da Microsoft, fazendo com que as tentativas de phishing pareçam confiáveis e tenham maior verosimilhança de enganar seus alvos.
No momento em que oriente livro foi escrito, o bug não foi revisto. Para provar o bug, o pesquisador enviou um e-mail ao TechCrunch que parecia ter sido enviado pela equipe de segurança de contas da Microsoft.
Na semana passada, Vsevolod Kokorin, também divulgado online porquê Slonser, escreveu no X (vetusto Twitter) que encontrou o bug de falsificação de e-mail e o relatou à Microsoft, mas a empresa rejeitou seu relatório depois de expor que não poderia reproduzir suas descobertas. Isso levou Kokorin a vulgarizar o bug no X, sem fornecer detalhes técnicos que pudessem ajudar outros a explorá-lo.
“A Microsoft exclusivamente disse que não poderia reproduzi-lo sem fornecer detalhes”, disse Koroin ao TechCrunch em um bate-papo online. “A Microsoft pode ter notado meu tweet porque algumas horas detrás eles reabriram [sic] um dos meus relatórios que enviei há vários meses.”
O bug, segundo Kokorin, só funciona no envio do e-mail para contas do Outlook. Ainda assim, trata-se de um conjunto de pelo menos 400 milhões de usuários em todo o mundo, de conformidade com o último relatório de lucros da Microsoft.
Kokorin disse que conversou com a Microsoft pela última vez em 15 de junho. A Microsoft não respondeu ao pedido de comentários do TechCrunch na terça-feira.
O TechCrunch não divulga detalhes técnicos do bug para evitar que hackers mal-intencionados o explorem.
“Eu não esperava que minha postagem tivesse tal reação. Honestamente, eu só queria compartilhar minha frustração porque essa situação me deixou triste”, disse Kokorin. “Muitas pessoas me entenderam mal e pensam que quero verba ou um tanto parecido. Na verdade, só quero que as empresas não ignorem os investigadores e sejam mais amigáveis quando tentam ajudá-los.”
Não se sabe se alguém além de Kokorin encontrou o bug ou se ele foi explorado de forma maliciosa.
Embora a ameaço deste bug seja desconhecida neste momento, a Microsoft enfrentou vários problemas de segurança nos últimos anos, o que levou a investigações por secção de reguladores federais e legisladores do Congresso.
Na semana passada, o presidente da Microsoft, Brad Smith, testemunhou em uma audiência na Câmara depois que a China roubou uma parcela de e-mails do governo federalista dos EUA dos servidores da Microsoft em 2023. Na audiência, Smith prometeu um esforço renovado para priorizar a segurança cibernética na empresa posteriormente uma série de constrangimentos de segurança.
Meses antes, em janeiro, a Microsoft confirmou que um grupo de hackers ligado ao governo russo havia invadido contas de e-mail corporativo da Microsoft para roubar informações sobre o que os principais executivos da empresa sabiam sobre os próprios hackers. E na semana passada, a ProPublica revelou que a Microsoft não atendeu aos avisos sobre uma omissão sátira que foi posteriormente explorada na campanha de espionagem cibernética apoiada pela Rússia que tinha porquê fim a empresa de tecnologia SolarWinds.