Индийский программист с псевдонимом Sahad Nk нашел ошибку, которая позволила получить доступ к документам пользователей Microsoft Office и электронной почте Outlook. Взломать систему безопасности позволил ненадежный домен компании.
Работая исследователем кибербезопасности в компании SafetyDetective, пользователь Sahad Nk смог взять контроль над адресом субдомена Microsoft http://success.office.com, передает Новое время.
После этого, «охотник за багами» создал приложение с помощью сервиса Microsoft Azure, которое позволило отображать субдомен как главный домен. Такая хитрость позволила Sahad Nk получать всю информацию, которую пользователи отправляли на главный домен Microsoft.
Когда пользователи входили в свой аккаунт Microsoft Office, электронную почту Outlook и онлайн-магазин Microsoft, Sahad Nk получал доступ к части данных для аутентификации. Позже, якобы с официального аккаунта Microsoft, хакер отправлял жертвам электронные письма со ссылкой, перейдя по которой, они подтверждали подлинность входа даже без логина и пароля.
Компания SafetyDetective передала Microsoft информацию об этой ошибке еще в июне 2018-го, а программисты корпорации исправили ее в ноябре.
Таким образом, как корпоративные, так и личные аккаунты Microsoft, могли быть легко вскрыты злоумышленниками.
