Учетные записи Microsoft были открыты для взлома

В качестве эксперимента Сахад Нк решил взламывать не сами учетные записи напрямую, а получить доступ к внутренним ресурсам технологической компании. Из-за плохой защищенности и неправильной конфигурации поддомена success.office.com, принадлежащего Microsoft, специалисту удалось легко взломать его и получить контроль над ним.

В итоге «хакер» получил неограниченный доступ к личным данным пользователей, так как мог послать фишинговое письмо любому из них. Это письмо нельзя было бы заподозрить как мошенническое ни технически, ни внешне. В итоге, пользователь, совершивший бы переход по ссылкам в таком письме, буквально добровольно «передал» злоумышленникам информацию для входа в аккаунт и другие личные данные.

SafetyDetective и Сахад Нк проводили эксперимент по защищенности аккаунтов пользователей Microsoft в течение нескольких месяцев. Результаты и найденные уязвимости сперва были переданы в Microsoft и только после их устранения SafetyDetective, занимающаяся кибербезопасностью, обнародовала отчет.