L'olandese Dirk-jan scopre un problema di sicurezza di Microsoft

"Stavo fissando lo schermo e ho pensato: Non può succedere. Non può funzionare..."

All'inizio, è soprattutto incredulità quando Dirk-jan Mollema si rende conto della gravità dell'errore appena scoperto. Poi la serietà si fa sentire. "Non voglio assolutamente essere in grado di fare questo genere di cose; non voglio quella responsabilità."

La falla scoperta da Mollema riguarda il servizio Microsoft Entra ID. Si tratta di un cosiddetto servizio di autenticazione utilizzato per accedere ad altri prodotti Microsoft, tra cui il servizio cloud Azure e la suite per ufficio Microsoft 365.

Mollema ha trovato un nuovo modo per accedere ed eseguire azioni per conto di altri utenti. "In realtà era pensato per Microsoft stessa, per uso interno. Ma potevo usarlo anche io."

E quel metodo di accesso conteneva una falla cruciale: non verificava se l'utente avesse realmente bisogno di accedere al sistema. In questo modo, un hacker avrebbe potuto accedere ai sistemi Microsoft di qualsiasi azienda.

"Si può quindi vedere, ad esempio, chi lavora lì e quali sono i suoi dati", afferma Mollema. "E tutto questo senza lasciare alcuna traccia."

Peggio ancora: un hacker potrebbe autoproclamarsi amministratore e apportare modifiche di ogni tipo. "Così gli altri amministratori vedrebbero che c'è un nuovo utente, quindi non è qualcosa che avviene in segreto", afferma Mollema. Ma in questo modo, un hacker potrebbe mettere le mani su tutte le email e i file dell'azienda. "Quindi, anche su ogni tipo di dato personale".

Nel video qui sotto, il giornalista tecnologico Wouter van Dijke spiega le conseguenze dell'errore in Microsoft:

Quando Mollema ha scoperto l'errore, lo ha immediatamente segnalato a Microsoft. "Penso che questo sia il report più veloce che abbia mai scritto. Ho capito subito: bisognava risolvere il problema il prima possibile. Così l'ho segnalato entro due ore."

Anche Microsoft ha preso molto sul serio il rapporto. "Hanno risolto il problema in tempi record. Alla fine, hanno implementato una soluzione a livello mondiale nel giro di tre giorni. È davvero veloce per un'azienda grande come Microsoft."

La gravità della situazione è evidente anche dall'avviso emesso da Microsoft, che attribuisce all'errore un punteggio massimo di 10.

Chiunque scopra un problema di sicurezza e lo segnali a Microsoft può aspettarsi una ricompensa. Queste cosiddette bug bounty possono raggiungere almeno i 100.000 dollari (85.000 euro). Mollema non ha voluto rivelare l'importo che Microsoft gli ha pagato. "Ma sicuramente hanno una bug bounty". dato."

Grazie al rapporto di Mollema, Microsoft è riuscita a risolvere rapidamente la vulnerabilità. Non sembra che altri abbiano scoperto lo stesso problema o l'abbiano sfruttato. Mollema: "Microsoft ha indagato sulla questione e afferma di non aver riscontrato alcun abuso. Presumo che sia vero. Ma non si può mai esserne completamente certi."

Le aziende che utilizzano i servizi Microsoft ora non devono più preoccuparsi, afferma Mollema. "Questo problema è stato davvero colpa di Microsoft. Come azienda, non c'era nulla che si potesse fare al riguardo. In sostanza, non è necessario alcun intervento da parte delle aziende, perché Microsoft ha risolto il problema da sola."

L'impatto di un attacco informatico può essere significativo. I dati di Sandra sono trapelati da un laboratorio medico, come spiega lei stessa in questo video: