Celah keamanan Microsoft buka peluang penipuan phishing global
Laporan terbaru dari ProPublica juga mengungkap bahwa Microsoft gagal menindaklanjuti peringatan mengenai celah kritis yang kemudian dieksploitasi dalam kampanye spionase siber.
Seorang peneliti keamanan siber menemukan celah keamanan yang memungkinkan siapa saja menyamar sebagai akun email korporat Microsoft. Hal ini cukup meresahkan karena dapat meningkatkan risiko serangan phishing yang lebih kredibel. Celah ini, yang belum diperbaiki hingga saat ini, dapat membuat target lebih mudah terjebak dalam penipuan.
Dilansir dari TechCrunch (20/6), peneliti yang menemukan celah tersebut, Vsevolod Kokorin, atau dikenal dengan nama online Slonser. Dia menyampaikan temuannya di platform media sosial X (dulu Twitter). Dalam cuitan tersebut, dia mengungkapkan bahwa setelah melaporkan bug ini ke Microsoft, namun sayangnya laporannya ditolak karena perusahaan tidak bisa mereproduksi temuan tersebut.
Frustrasi dengan tanggapan tersebut, Kokorin memutuskan untuk mempublikasikan bug ini, meskipun tanpa memberikan detail teknis yang bisa dimanfaatkan oleh pihak jahat.
“Microsoft hanya mengatakan mereka tidak dapat mereproduksi tanpa memberikan rincian apapun,” ungkap Kokorin dalam wawancara online dengan TechCrunch. “Beberapa jam setelah saya memposting di X, mereka membuka kembali salah satu laporan yang saya kirim beberapa bulan lalu.”
Bug ini, menurut Kokorin, hanya berlaku untuk email yang dikirim ke akun Outlook, yang memiliki pengguna global sekitar 400 juta berdasarkan laporan pendapatan terbaru Microsoft.
Kokorin terakhir kali menghubungi Microsoft pada 15 Juni lalu, namun hingga kini belum ada tanggapan resmi dari Microsoft terkait masalah ini. TechCrunch memilih untuk tidak mengungkapkan detail teknis dari bug ini demi mencegah eksploitasi lebih lanjut oleh pihak yang tidak bertanggung jawab.
“Saya tidak menyangka postingan saya akan mendapatkan reaksi sebesar ini. Saya hanya ingin berbagi rasa frustrasi karena situasi ini membuat saya sedih,” jelas Kokorin. “Banyak yang salah paham dan mengira saya menginginkan uang atau imbalan. Sebenarnya, saya hanya berharap perusahaan lebih menghargai dan merespons peneliti yang berusaha membantu.”
Saat ini, belum diketahui apakah ada orang lain yang menemukan celah ini atau apakah bug tersebut telah dieksploitasi secara jahat. Namun, insiden ini menambah deretan masalah keamanan yang dihadapi Microsoft dalam beberapa tahun terakhir.
Pekan lalu, Presiden Microsoft Brad Smith memberikan kesaksian di hadapan Dewan Perwakilan Rakyat AS setelah insiden pencurian email pemerintah AS oleh China dari server Microsoft pada 2023. Dalam kesaksiannya, Smith berjanji akan meningkatkan prioritas keamanan siber di perusahaan setelah berbagai insiden memalukan terkait keamanan.
Sebelumnya, pada Januari, Microsoft mengonfirmasi bahwa kelompok peretas yang terkait dengan pemerintah Rusia telah membobol akun email korporat Microsoft untuk mencuri informasi terkait apa yang diketahui oleh para eksekutif perusahaan tentang kelompok peretas tersebut. Laporan terbaru dari ProPublica juga mengungkap bahwa Microsoft gagal menindaklanjuti peringatan mengenai celah kritis yang kemudian dieksploitasi dalam kampanye spionase siber yang didukung Rusia dan menargetkan perusahaan teknologi SolarWinds.
Insiden ini menambah tekanan pada Microsoft untuk meningkatkan langkah-langkah keamanan siber mereka di tengah meningkatnya ancaman digital global.