Un gruppo di hacker poteva leggere le tue email su Hotmail, MSN e Outlook

Sabato, Microsoft ha confermato a TechCrunch che alcuni utenti del servizio email dell'azienda sono stati presi di mira da degli hacker. Un hacker o un gruppo di hacker è entrato in un account del servizio clienti di Microsoft e l'ha sfruttato per accedere a informazioni relative agli account email dei clienti, come l'oggetto delle email spedite e con chi hanno comunicato.

Ma il problema è peggio di quel che sembrava inizialmente, e gli hacker avrebbero avuto accesso al contenuto delle email di un numero consistente di account Outlook, MSN e Hotmail, stando a una fonte che ha assistito all'attacco e l'ha descritto a Motherboard prima della dichiarazione di Microsoft, fornendo inoltre degli screenshot. Microsoft ha poi confermato a Motherboard che gli hacker avevano avuto accesso ai contenuti delle email di alcuni clienti.

A marzo, prima che Microsoft confermasse l'attacco pubblicamente, la fonte ha detto a Motherboard che l'abuso di un portale di servizio clienti ha permesso agli hacker di accedere a qualsiasi account email, purché non fosse un account di livello aziendale. Questo significa che, mentre gli account aziendali pagati da un'impresa non erano stati colpiti, le persone normali sì. La fonte ha descritto l'attacco, compreso come ha sfruttato un tool di servizio clienti di Microsoft. Domenica, la fonte ha reiterato questi dettagli e fornito informazioni ulteriori e screenshot del tipo di accesso conquistato dagli hacker.

"Abbiamo riscontrato la compromissione delle credenziali di un addetto al servizio clienti di Microsoft, cosa che ha permesso a individui esterni a Microsoft di accedere alle informazioni interne al tuo account email Microsoft," si legge in una email inviata da Microsoft a una delle vittime e pubblicata su Reddit sabato.

L'email aggiunge che gli hacker avrebbero avuto accesso ai nomi delle cartelle email, agli oggetti delle email e ai nomi degli altri indirizzi email con cui l'utente comunicava. Alcuni degli screenshot forniti a Motherboard e relativi all'attacco mostrano un pannello con un lista di informazioni dell'account a cui gli hacker potevano accedere, compreso il calendario della vittima e la sua data di nascita. La parte più alta del pannello ha sezioni diverse, come "Profilo," "Mailbox Folder Stats," "Admin Center," e "Logon History."

Nella email di notifica dell'incidente, Microsoft ha detto che gli hacker non avrebbero avuto accesso ai contenuti delle email né agli allegati, poi in un'altra sezione ha detto che "i dati" dell'azienda "indicano" che i contenuti delle email non erano visualizzabili.

La fonte di Motherboard, però, ha detto che la tecnica usata dagli hacker permette di accedere completamente ai contenuti della email. Domenica, la fonte ha fornito un altro screenshot, relativo a un'altra pagina del pannello con l'etichetta "Email Body" e il corpo di una email redatta dalla fonte. Hanno detto che l'account di servizio clienti di Microsoft usato apparteneva a un utente con privilegi alti, ovvero con più accessi rispetto ad altri impiegati.

Quando questo screenshot è stato sottoposto a Microsoft, l'azienda ha confermato di aver inviato una notifica di violazione ad alcuni utenti che avevano effettivamente detto che il contenuto delle email era stato colpito. Microsoft ha sostenuto che il problema riguardava circa il 6 percento di un piccolo numero di clienti colpiti, benché l'azienda non abbia specificato il numero totale.

"Abbiamo contrastato questo schema, che ha colpito un numero limitato di account di clienti, disabilitando le credenziali compromesse e bloccando l'accesso ai perpetratori," ha dichiarato a Motherboard un portavoce di Microsoft.

Microsoft, come molti altri colossi tech, ha l'abilità di scandagliare o leggere i messaggi di un utente. Nel 2014, Microsoft ha guardato dentro l'account email di un blogger francese per identificare un leaker di Windows 8.

Nella email di notifica della violazione, Microsoft ha detto di aver disattivato immediatamente l'account di servizio clienti compromesso, non appena hanno scoperto il problema. La fonte ha detto che Microsoft ha notato l'attacco alla fine di Marzo e che gli hacker avevano avuto libero accesso per almeno sei mesi. Microsoft ha negato questa accusa, e rinviato alla email di notifica, che lascia presupporre una finestra temporale tra l'1 gennaio e il 28 marzo.

La fonte ha detto che questo accesso è stato usato come parte di cosiddetti unlock dell'iCloud, operazioni in cui un hacker compromette l'email o l'account iCloud del proprio obiettivo per poter rimuovere l'Activation Lock dall'iPhone di quella persona. Questa è una componente di sicurezza di Apple che impedisce ai ladri di resettare dispositivi rubati e rivenderli.

Questo articolo è apparso originariamente su Motherboard US.