Исследователь обнаружил ошибку, которая позволяет любому человеку выдавать себя за корпоративные учетные записи электронной почты Microsoft, что делает попытки фишинга правдоподобными и повышает вероятность того, что цель будет обманута, сообщаетTechCrunch. На данный момент ошибка не исправлена.
Чтобы продемонстрировать ошибку, исследователь отправил в TechCrunch письмо, которое выглядело так, будто его прислала команда безопасности учетных записей Microsoft.
Всеволод Кокорин, также известный в сети под ником Slonser, написална сайте X, что обнаружил ошибку подмены электронной почты и сообщил о ней Microsoft, но компания отклонила его сообщение, заявив, что не может воспроизвести его результаты. Это побудило Кокорина опубликовать информацию об ошибке на X, не предоставив технических деталей, которые помогли бы другим использовать ее.
«Microsoft просто сказала, что не может воспроизвести проблему, не предоставив никаких подробностей, — сказал Кокорин. — Microsoft могла заметить мой твит, потому что несколько часов назад они снова открыли один из моих отчетов, который я отправил несколько месяцев назад».
По словам Кокорина, ошибка работает только при отправке писем в учетные записи Outlook. Тем не менее, согласнопоследнему отчету о прибылях Microsoft, это не менее 400 млн. пользователей по всему миру.
«Я не ожидал, что мой пост вызовет такую реакцию. Честно говоря, я просто хотел поделиться своим разочарованием, потому что эта ситуация меня огорчила, — сказал Кокорин. — Многие люди неправильно меня поняли и думают, что я хочу денег или чего-то подобного. На самом деле я просто хочу, чтобы компании не игнорировали исследователей и были более дружелюбны, когда вы пытаетесь им помочь».
Неизвестно, нашел ли ошибку кто-то еще, кроме Кокорина, и была ли она использована со злым умыслом. Хотя на данный момент угроза этого бага неизвестна, в последние годы Microsoft столкнулась с несколькими проблемами безопасности, что вызвало расследования со стороны федеральных регуляторов и законодателей Конгресса.
Ранее Microsoft уклониласьот антимонопольного контроля в отношении доли в ИИ Mistral. Компания не будет подвергаться антимонопольному контролю в Великобритании в связи со своими недавними инвестициями во французский ИИ-стартап Mistral AI. Управление по конкуренции и рынкам (CMA) страны пришло к выводу, что это партнерство «не подпадает под действие положений о слиянии, предусмотренных Законом о предприятиях 2002 года».