Игнорировать нельзя исправить: Российский багхантер заставил Microsoft устранить уязвимость

Специалист по анализу защищенности в SolidLab Всеволод Кокорин, также известный как Slonser, обнаружил ошибки в безопасности в Microsoft. Одна из найденных уязвимостей дает возможность рассылать письма пользователям почтового клиента, выдавая себя за учетные записи электронной почты Microsoft. Если бы злоумышленники воспользовались это дырой в безопасности, то смогли бы сделать фишинговые письма более правдоподобными.

По словам исследователя, он сообщил о найденных ошибках в компанию Microsoft, но его проигнорировали и закрыли тикеты без объяснения причин. Тогда он выступил на прошедшей конференции PHD2 с докладом, в котором осветил уязвимости в C# и сервисах Microsoft. После выступления Всеволод Кокорин обнаружил еще один баг, который позволяет отправлять письма от любого user@domain и сообщил о нем в Microsoft. Но компания снова не ответила на его сообщения.

Тогда исследователь выложил пост в X (запрещенная на территории Российской Федерации социальная сеть), в котором описал происходящее без технических подробностей, чтобы никто не могу воспользоваться уязвимостью. Пост набрал 120 тысяч просмотров и привлек внимание СМИ, в том числе Forbes и TechCrunch. И только, когда поднялась шумиха и СМИ стали писать об угрозе 400 миллионам пользователей почтового клиента Outlook, Microsoft переоткрыли тикет с последней уязвимостью и начали работу над патчем для уязвимости в C#.

«Случай показал, что вендор может игнорировать тебя до тех пор, пока не начнет нести репутационные риски. Сообщество в этом плане действительно помогает», — прокомментировал ситуацию Всеволод Кокорин.