Um pesquisador de segurança cibernética descobriu uma falha crítica que permite a qualquer pessoa se passar por contas de e-mail corporativas da Microsoft, tornando os ataques de phishing mais convincentes e com maior probabilidade de sucesso. No momento da descoberta, o bug ainda não havia sido corrigido, causando preocupação na comunidade de segurança.
O pesquisador Vsevolod Kokorin, conhecido como Slonser, revelou a falha em um post na plataforma X (antigo Twitter). Para demonstrar o problema, ele enviou um e-mail à redação do TechCrunch, que parecia ter sido enviado pela equipe de segurança de contas da Microsoft. Apesar da clareza da falha, a Microsoft inicialmente rejeitou o relatório de Kokorin, alegando não conseguir reproduzir o bug.
Após a rejeição, Kokorin decidiu divulgar a vulnerabilidade no X, sem fornecer detalhes técnicos para evitar que a falha fosse explorada por hackers mal-intencionados. "A Microsoft apenas disse que não poderia reproduzi-lo sem fornecer detalhes", afirmou Kokorin. A repercussão de seu tweet levou a Microsoft a reabrir um dos relatórios submetidos por ele meses atrás.
A falha afeta exclusivamente o envio de e-mails para contas do Outlook, um serviço utilizado por aproximadamente 400 milhões de usuários ao redor do mundo, de acordo com o último relatório de lucros da Microsoft. Kokorin afirmou que teve sua última comunicação com a Microsoft em 15 de junho, mas até agora a empresa não se pronunciou sobre o caso.
Kokorin expressou sua frustração com a falta de atenção da Microsoft. "Eu não esperava essa reação. Só queria compartilhar minha frustração. Muitas pessoas me entenderam mal, achando que eu queria dinheiro. Na verdade, quero que as empresas não ignorem os pesquisadores e sejam mais receptivas."
Esta não é a primeira vez que a Microsoft enfrenta desafios de segurança significativos. Recentemente, o presidente da empresa, Brad Smith, testemunhou em uma audiência na Câmara dos EUA sobre um incidente em 2023, onde hackers chineses roubaram e-mails do governo federal dos servidores da Microsoft. Smith prometeu uma renovada prioridade na segurança cibernética da empresa.
Em janeiro, a Microsoft confirmou que hackers ligados ao governo russo invadiram contas de e-mail corporativas para obter informações sensíveis. Além disso, um relatório da ProPublica revelou que a Microsoft ignorou avisos sobre uma falha crítica que foi explorada em uma campanha de espionagem cibernética direcionada à empresa de tecnologia SolarWinds.
A descoberta do bug por Kokorin ressalta a importância de uma resposta rápida e eficaz a relatórios de vulnerabilidades, destacando a necessidade de maior colaboração entre empresas de tecnologia e pesquisadores de segurança para proteger usuários e dados sensíveis.
Via - TC
Comments