Seorang peneliti telah menemukan bug yang memungkinkan siapa pun meniru akun email perusahaan Microsoft, membuat upaya phishing tampak kredibel dan lebih mungkin mengelabui target mereka.
Hingga tulisan ini dibuat, bug tersebut belum diperbaiki. Untuk mendemonstrasikan bug tersebut, peneliti mengirim email ke TechCrunch yang sepertinya dikirim dari tim keamanan akun Microsoft.
Pekan lalu, Vsevolod Kokorin, juga dikenal secara online sebagai Slonser, menulis di X (sebelumnya Twitter) bahwa ia menemukan bug spoofing email dan melaporkannya ke Microsoft, namun perusahaan tersebut menolak laporannya setelah mengatakan pihaknya tidak dapat mereproduksi temuannya. Hal ini mendorong Kokorin untuk mempublikasikan bug di X, tanpa memberikan rincian teknis yang dapat membantu orang lain mengeksploitasinya.
“Microsoft hanya mengatakan mereka tidak dapat mereproduksinya tanpa memberikan rincian apa pun,” kata Koroin kepada TechCrunch dalam obrolan online. “Microsoft mungkin memperhatikan tweet saya karena beberapa jam yang lalu dibuka kembali [sic] salah satu laporanku yang kuserahkan beberapa bulan lalu.”
Bug tersebut, menurut Kokorin, hanya berfungsi saat mengirim email ke akun Outlook. Namun, setidaknya ada 400 juta pengguna di seluruh dunia, menurut laporan pendapatan terbaru Microsoft.
Kokorin mengatakan dia terakhir kali menindaklanjuti dengan Microsoft pada 15 Juni. Microsoft tidak menanggapi permintaan komentar TechCrunch pada hari Selasa.
TechCrunch tidak membocorkan rincian teknis bug tersebut untuk mencegah peretas jahat mengeksploitasinya.
“Saya tidak menyangka postingan saya mendapat reaksi seperti itu. Jujur saja, saya hanya ingin mengungkapkan kekesalan saya karena situasi ini membuat saya sedih,” kata Kokorin. “Banyak orang yang salah paham dengan saya dan mengira saya menginginkan uang atau semacamnya. Kenyataannya, saya hanya ingin perusahaan tidak mengabaikan peneliti dan bersikap lebih ramah ketika Anda mencoba membantu mereka.”
Tidak diketahui apakah ada orang lain selain Kokorin yang menemukan bug tersebut, atau apakah bug tersebut telah dieksploitasi secara jahat.
Meskipun ancaman bug ini, pada saat ini, tidak diketahui, Microsoft telah mengalami beberapa masalah keamanan dalam beberapa tahun terakhir, yang memicu penyelidikan oleh regulator federal dan anggota parlemen Kongres.
Pekan lalu, presiden Microsoft Brad Smith bersaksi di sidang DPR setelah Tiongkok mencuri sejumlah email pemerintah federal AS dari server Microsoft pada tahun 2023. Dalam sidang tersebut, Smith menjanjikan upaya baru untuk memprioritaskan keamanan siber di perusahaan tersebut setelah serangkaian masalah keamanan yang memalukan.
Beberapa bulan sebelumnya pada bulan Januari, Microsoft mengkonfirmasi bahwa kelompok peretas yang terkait dengan pemerintah Rusia telah membobol akun email perusahaan Microsoft untuk mencuri informasi tentang apa yang diketahui oleh para eksekutif puncak perusahaan tentang para peretas itu sendiri. Dan minggu lalu, ProPublica terungkap bahwa Microsoft telah gagal mengindahkan peringatan tentang kelemahan kritis yang kemudian dieksploitasi dalam kampanye spionase dunia maya yang didukung Rusia yang menargetkan perusahaan teknologi SolarWinds.
