Bir araştırmacı, herkesin Microsoft kurumsal e-posta hesaplarını taklit etmesine olanak tanıyan, kimlik avı girişimlerinin güvenilir görünmesine ve hedeflerini kandırma olasılığının artmasına neden olan bir hata buldu.
Bu yazının yazıldığı an itibarıyla hata düzeltilmedi. Hatayı göstermek için araştırmacı TechCrunch’a Microsoft’un hesap güvenlik ekibinden gönderilmiş gibi görünen bir e-posta gönderdi.
Geçtiğimiz hafta, internette Slonser olarak da bilinen Vsevolod Kokorin, X’te (eski adıyla Twitter) e-posta sahtekarlığı hatasını bulduğunu ve bunu Microsoft’a bildirdiğini yazdı, ancak şirket, bulgularını yeniden üretemeyeceğini söyleyerek raporunu reddetti. Bu durum, Kokorin’in, başkalarının bu hatayı istismar etmesine yardımcı olacak teknik ayrıntıları vermeden, X’teki hatayı duyurmasına neden oldu.
Koroin, TechCrunch’a çevrimiçi bir sohbette “Microsoft, herhangi bir ayrıntı vermeden bunu yeniden üretemeyeceklerini söyledi” dedi. “Microsoft tweetimi fark etmiş olabilir çünkü birkaç saat önce yeniden açıldılar [sic] birkaç ay önce sunduğum raporlarımdan biri.”
Kokorin’e göre hata, yalnızca e-postayı Outlook hesaplarına gönderirken çalışıyor. Yine de Microsoft’un son kazanç raporuna göre bu, tüm dünyada en az 400 milyon kullanıcıdan oluşan bir havuz.
Kokorin, Microsoft’u en son 15 Haziran’da takip ettiğini söyledi. Microsoft, Salı günü TechCrunch’ın yorum talebine yanıt vermedi.
TechCrunch, kötü niyetli bilgisayar korsanlarının bu hatadan yararlanmasını önlemek amacıyla hatanın teknik ayrıntılarını açıklamıyor.
“Yazımın bu kadar tepki alacağını beklemiyordum. Açıkçası bu durum beni üzdüğü için hayal kırıklığımı paylaşmak istedim” dedi Kokorin. “Birçok insan beni yanlış anladı ve benim para ya da buna benzer bir şey istediğimi düşünüyor. Aslında şirketlerin araştırmacıları görmezden gelmemelerini ve onlara yardım etmeye çalıştığınızda daha arkadaş canlısı olmalarını istiyorum.”
Hatayı Kokorin dışında birinin mi bulduğu yoksa kötü niyetli olarak mı kullanıldığı bilinmiyor.
Bu noktada bu hatanın tehdidi bilinmemekle birlikte, Microsoft son yıllarda çeşitli güvenlik sorunları yaşadı ve bu durum hem federal düzenleyiciler hem de kongre yasa yapıcıları tarafından soruşturma yapılmasına yol açtı.
Geçen hafta, Microsoft başkanı Brad Smith, Çin’in 2023’te Microsoft’un sunucularından ABD federal hükümetinin e-postalarının bir bölümünü çalmasının ardından Meclis duruşmasında ifade verdi. Duruşmada Smith, bir dizi güvenlik utancından sonra şirkette siber güvenliğe öncelik verme yönünde yenilenen bir çabanın sözünü verdi.
Ocak ayından aylar önce Microsoft, Rus hükümetiyle bağlantılı bir bilgisayar korsanlığı grubunun, şirketin üst düzey yöneticilerinin bilgisayar korsanları hakkında bildiklerine ilişkin bilgileri çalmak için Microsoft’un kurumsal e-posta hesaplarına sızdığını doğruladı. Geçtiğimiz hafta ProPublica, Microsoft’un, daha sonra teknoloji şirketi SolarWinds’i hedef alan Rusya destekli siber casusluk kampanyasında istismar edilen kritik bir kusur hakkındaki uyarıları dikkate almadığını ortaya çıkardı.
Kaynak: https://techcrunch.com/2024/06/18/security-bug-allows-anyone-to-spoof-microsoft-employee-emails/
Web sitemizde ziyaretçilerimize daha iyi hizmet sağlayabilmek adına bazı çerezler kullanıyoruz. Web sitemizi kullanmaya devam ederseniz çerezleri kabul etmiş sayılırsınız.
Gizlilik Politikası