משתמשי תיבות מייל של Outlook של מיקרוסופט – היזהרו: בימים האחרונים הודיעה החברה כי גילתה תרמית חדשה של האקרים, שמנצלים את השימוש שלה בסטנדרט אימות זהות פתוח כדי לפתות משתמשים לתת להם גישה מלאה לכל המידע שלהם בשירות.

לפי הגולש שדיווח על האפליקציה בשבוע שעבר, משתמשי שירות Office 365 של מיקרוסופט, שכולל תיבות מייל של החברה (גם פרטיות, כיורש של "הוטמייל" ז"ל, וגם ארגוניות), קיבלו הודעות לתיבות האימייל, לפיהן עמיתים לעבודה צירפו עבורם קובץ. הקישור לאותו קובץ הפנה את המשתמשים לאפליקציה בשם "Upgrade" ("שדרוג"), שביקשה מהם הרשאות גישה מלאות לתיבת המייל שלהם.

לדברי החברה, ההאקרים ניצלו את השימו שלה בסטנדרט אימות הזהות OAuth, שנתמך גם על ידי גוגל, פייסבוק ועוד. השירות מאפשר לכל אפליקציה שמסתמכת עליו להציג למשתמש הודעת בקשת הרשאה למידע שלו בכל שירות שתומך בו, ללא כל צורך לבצע פריצה רגילה כדי להשיג את הגישה הזו. מיקרוסופט ציינה כי הגישה שהושגה בדרך זו היתה מלאה: ההאקרים יכלו לקרוא את כל המיילים, האירועים ואנשי הקשר בתיבה, ביומן ובפנקס של המשתמשים, ואף לכתוב בשמם מיילים, אירועים וכללים אוטומטיים להעברה של מיילים.

"מיקרוסופט השביתה את האפליקציה ב(שירות הענן) Azure AD והודיעה ללקוחות שנפגעו", כתבה החברה, וציינה כי מאות ארגונים נפגעו מהתרמית, שהתמקדה בעיקר בלקוחות עסקיים, בשל הגישה שניתן להשיג באמצעותם למידע של חברות שמסוגלות לשלם סכומים לא מבוטלים למי שמחזיק בו.

עוד ב-

מיקרוסופט בצעד דרקוני נגד מי שלא רצה לשדרג

לכתבה המלאה

בשנה שעברה כבר הזהירה מיקרוסופט ממתקפות מסוג זה, שעלולות לתת לתוקפים גישה למידע של המשתמשים, אך גם הבהירה כי שיטת הגישה הזו אינה פורצת את הסיסמה, כך שכל מה שצריך לעשות כדי למנוע מההאקרים גישה עתידית למידע היא לבטל את ההרשאה שלהם. כמובן שמלכתחילה יש לחשוב פעמיים לפני אישור הרשאות גישה למידע האישי או הארגוני לאפליקציות לא מוכרות.