• Учетные записи Microsoft были открыты для взлома

    В хранении информации пользователей американской корпорации Microsoft существовала уязвимость, которая позволяла без усилий выкрасть данные любого аккаунта, получив доступ к плохо защищенному поддомену success.office.com. Уязвимость в системе безопасности была обнаружена индийским специалистом Сахад Нк по заказу компании SafetyDetective.
    Учетные записи Microsoft были открыты для взлома

    В качестве эксперимента Сахад Нк решил взламывать не сами учетные записи напрямую, а получить доступ к внутренним ресурсам технологической компании. Из-за плохой защищенности и неправильной конфигурации поддомена success.office.com, принадлежащего Microsoft, специалисту удалось легко взломать его и получить контроль над ним.

    В итоге «хакер» получил неограниченный доступ к личным данным пользователей, так как мог послать фишинговое письмо любому из них. Это письмо нельзя было бы заподозрить как мошенническое ни технически, ни внешне. В итоге, пользователь, совершивший бы переход по ссылкам в таком письме, буквально добровольно «передал» злоумышленникам информацию для входа в аккаунт и другие личные данные.

    SafetyDetective и Сахад Нк проводили эксперимент по защищенности аккаунтов пользователей Microsoft в течение нескольких месяцев. Результаты и найденные уязвимости сперва были переданы в Microsoft и только после их устранения SafetyDetective, занимающаяся кибербезопасностью, обнародовала отчет.