Доступ до документів користувачів Microsoft Office та електронної пошти Outlook зміг отримати індійський програміст з псевдонімом Sahad Nk. Зламати систему безпеки дозволив йому ненадійний домен компанії. Про це пише Новое время з посиланням на Mashable.
Як повідомляє видання, працюючи дослідником кібербезпеки у компанії SafetyDetective, користувач Sahad Nk зміг взяти контроль над адресою субдомена Microsoft http://success.office.com.
Після цього, “мисливець за багами” створив додаток за допомогою сервісу Microsoft Azure, який дозволив відображати субдомен як головний домен. Така хитрість дозволила Sahad Nk отримувати всю інформацію, яку користувачі відправляли на головний домен Microsoft.
Коли користувачі входили до свого облікового запису Microsoft Office, електронної пошти Outlook і онлайн-магазину Microsoft, Sahad Nk отримував доступ до частини даних для аутентифікації. Пізніше, нібито з офіційного екаунта Microsoft, хакер відправляв жертвам електронні листи з посиланням, перейшовши за яким, вони підтверджували справжність входу навіть без логіна і пароля.
Повідомляється, що компанія SafetyDetective передала Microsoft інформацію про цю помилку ще у червні 2018-го, а програмісти корпорації виправили її в листопаді.
Таким чином, як корпоративні, так і особисті екаунти Microsoft, могли бути легко зламані зловмисниками.
Згідно з виданням Tech Crunch, подібним чином було вкрадено контактні дані близько 30 млн користувачів Facebook у жовтні 2018-го.
Інформація 15 з 30 млн користувачів включала ім’я, номер телефону та адресу електронної пошти. Менше пощастило іншим 14 млн зареєстрованих в Facebook, оскільки у них вкрали додаткові дані про статус стосунків, релігії, рідне і поточне місто проживання, дату народження, типи пристроїв, за допомогою яких вони заходили у Facebook, освіту, роботу, останні 10 місяців, де вони відзначали своє місце розташування, веб-сайти, людей або сторінки, на які вони підписані, а також про 15 останніх пошукових запитів.