Güvenlik açığı herkesin Microsoft çalışanlarının e-postalarını taklit etmesine olanak tanıyor. Bir araştırmacı, herhangi birinin Microsoft kurumsal e-posta hesaplarını taklit etmesine olanak tanıyan, kimlik avı girişimlerinin güvenilir görünmesini ve hedeflerini kandırma olasılığını artıran bir hata buldu.
Microsoft çalışanlarının e-postaları güvenlik açığına neden oluyor
Geçtiğimiz hafta, internette Slonser olarak da bilinen Vsevolod Kokorin, X’te e-posta sahteciliği hatasını bulduğunu ve Microsoft’a bildirdiğini yazdı, ancak şirket bulgularını yeniden üretemediğini söyleyerek raporunu reddetti. Bu durum Kokorin’i, başkalarının bu hatayı kullanmasına yardımcı olacak teknik detaylar vermeden X’te hatayı duyurmaya itti.
Kokorin bir sohbette: “Microsoft herhangi bir ayrıntı vermeden sadece yeniden üretemediklerini söyledi. Microsoft tweetimi fark etmiş olabilir çünkü birkaç saat önce birkaç ay önce gönderdiğim raporlardan birini yeniden açtılar” dedi Kokorin’e göre hata yalnızca Outlook hesaplarına e-posta gönderirken çalışıyor. Yine de, Microsoft’un son kazanç raporuna göre, bu tüm dünyada en az 400 milyon kullanıcıdan oluşan bir havuz. Kokorin, Microsoft ile en son 15 Haziran’da görüştüğünü söyledi.
Kötü niyetli bilgisayar korsanlarının bu hatayı istismar etmesini önlemek için hatanın teknik ayrıntılarını açıklamıyor. Kokorin: “Paylaşımımın böyle bir tepki almasını beklemiyordum. Dürüst olmak gerekirse, sadece hayal kırıklığımı paylaşmak istedim çünkü bu durum beni üzdü. Birçok kişi beni yanlış anladı ve para istediğimi ya da buna benzer bir şey istediğimi düşündü. Aslında ben sadece şirketlerin araştırmacıları görmezden gelmemelerini ve onlara yardım etmeye çalıştığınızda daha dostane davranmalarını istiyorum” dedi.
Hatayı Kokorin’den başka birinin bulup bulmadığı ya da kötü niyetle kullanılıp kullanılmadığı bilinmiyor. Bu noktada bu hatanın yarattığı tehdit bilinmemekle birlikte, Microsoft son yıllarda hem federal düzenleyiciler hem de kongre milletvekilleri tarafından soruşturmalara yol açan çeşitli güvenlik sorunları yaşadı.
Geçtiğimiz hafta Microsoft Başkanı Brad Smith, Çin’in 2023 yılında Microsoft’un sunucularından ABD federal hükümet e-postalarının bir bölümünü çalmasının ardından Temsilciler Meclisi’ndeki bir oturumda ifade verdi. Oturumda Smith, bir dizi güvenlik utancının ardından şirkette siber güvenliğe öncelik vermek için yenilenmiş bir çaba sözü verdi.