La settimana scorsa, il ricercatore Vsevolod Kokorin, ricercatore presso SolidLab, ha rivelato di aver scoperto un bug che consente a malintenzionati di sfruttare gli account di posta elettronica aziendali di Microsoft per rendere più credibili gli attacchi di phishing e aumentare le probabilità di trarre in inganno le vittime. Questa pericolosa vulnerabilità è stata segnalata direttamente a Microsoft da Kokorin, ma senza ricevere alcuna risposta. Per questo motivo, il ricercatore ha deciso di rendere pubblica la scoperta del bug su X.
“Microsoft ha semplicemente detto di non essere in grado di replicare il problema, senza fornire ulteriori dettagli”, ha spiegato Kokorin in un’email inviata a TechCrunch. Tuttavia, il bug sembra persistere, sebbene possa essere sfruttato solo quando si inviano email agli account di posta Outlook, che sono utilizzati da circa 400 milioni di utenti in tutto il mondo. Ciò significa che, fingendosi dipendenti Microsoft, i criminali possono truffare milioni di vittime, chiedendo loro di eseguire qualsiasi azione desiderata, come per esempio completare un acquisto per ottenere i dati della carta di credito o compilare un modulo di contatto per accedere ai loro dati personali.
Questa vulnerabilità di Microsoft non dovrebbe essere sottovalutata, anche se l’azienda non sembra prenderla sul serio. “Non mi aspettavo che il mio post suscitasse una tale reazione. Onestamente, volevo solo condividere la mia frustrazione perché questa situazione mi ha reso triste”, ha scritto Kokorin dopo aver condiviso la notizia del bug su X. “Molte persone mi hanno frainteso, pensando che volessi soldi o altro. In realtà, voglio solo che le aziende non ignorino i ricercatori e siano più collaborative quando si cerca di aiutarle”.
Solo dopo il post su X, Microsoft ha deciso di fare un passo indietro e ha contattato il ricercatore per confermare che un team è attualmente al lavoro per risolvere la falla.
L’esperto ha inoltre lanciato un appello alle grandi compagnie tecnologiche tramite il sito TechCrunch, chiedendo maggiore rispetto e supporto per il lavoro dei ricercatori.
Nonostante il dispiacere di Kokorin, questa non è la prima volta che Microsoft ignora segnalazioni riguardanti le vulnerabilità dei suoi prodotti e problemi di sicureza informatica.
La settimana scorsa, per esempio, ProPublica ha rivelato che Microsoft non ha tenuto conto degli avvertimenti su una falla critica, poi sfruttata in una campagna di cyberspionaggio supportata dai russi, che ha preso di mira l’azienda tecnologica SolarWinds. Questa situazione imbarazzante potrebbe ripetersi se la compagnia non presta maggiore attenzione alle segnalazioni dei ricercatori e degli esperti di sicurezza.
LG