Μια τεχνική ανακάλυψη αποκάλυψε ότι το Microsoft Outlook προώθησε δεδομένα σε διακομιστές στην Ιαπωνία από λάθος για τουλάχιστον έξι χρόνια, χωρίς να έχει ενεργοποιηθεί κάποια κακόβουλη ενέργεια.
Ανεξήγητο λάθος δρομολόγησης
Μια πρόσφατη έρευνα έδειξε ότι το σύστημα Autodiscover των ρυθμίσεων λογαριασμού του Outlook προωθούσε αιτήματα που προορίζονταν για το domain example.com σε δύο πραγματικές διευθύνσεις στην Ιαπωνία. Το example.com είναι ένα τεχνητό domain που προορίζεται αποκλειστικά για δοκιμές και τεκμηρίωση, και δεν θα έπρεπε ποτέ να χρησιμοποιείται σε πραγματική ροή δεδομένων.
Αντί λοιπόν να παραμείνουν εντός του περιβάλλοντος ανάπτυξης, αυτά τα αιτήματα κατέληγαν σε servers που ανήκουν στην ιαπωνική εταιρεία Sumitomo Electric — κάτι που δεν είχε προβλεφθεί στον σχεδιασμό του Outlook.
Τι είδους δεδομένα μεταφέρονταν;
Τα δεδομένα που δρομολογούνταν προς την Ιαπωνία φαίνεται πως ήταν προσωρινά placeholders, δηλαδή προσωρινές πληροφορίες που χρησιμοποιούνται κατά τη σύνδεση ή ρύθμιση του λογαριασμού. Δεν υπάρχουν επιβεβαιώσεις ότι έφτασαν σε κακόβουλα χέρια ή ότι υπήρξε πρόσβαση σε πραγματικούς κωδικούς χρηστών. Ωστόσο, θεωρητικά υπήρχε τέτοια πιθανότητα, αν και μέχρι σήμερα δεν έχει αναφερθεί κανένα παραβιασμένο credential.
Πώς αντιμετωπίστηκε το ζήτημα
Η Microsoft εντόπισε και μπλόκαρε την περαιτέρω επικοινωνία με τους διακομιστές στη Ιαπωνία, όμως η ρίζα του προβλήματος παραμένει άγνωστη. Μέχρι να καταλάβει πλήρως τι προκαλούσε το λάθος στο σύστημα Autodiscover, η εταιρεία διατηρεί μέτρα ώστε να αποτρέψει τυχόν επαναλαμβανόμενη δρομολόγηση σε μη αναμενόμενους servers.
Τι πρέπει να γνωρίζουν οι χρήστες
Παρά το ότι η υπόθεση δεν φαίνεται να σχετίζεται με επίθεση ή ευρεία παραβίαση δεδομένων, η μακρά διάρκεια (τουλάχιστον από το 2020 έως σήμερα) του λάθους αποκαλύπτει την προκλητική πολύπλοκη φύση των backend συστημάτων σε μεγάλες υπηρεσίες email όπως το Outlook.
Για επιχειρήσεις και απλούς χρήστες, η αξία της συνεχούς παρακολούθησης και η χρήση επιπλέον μέτρων ασφαλείας για τα credentials παραμένει επιτακτική, ακόμη και όταν δεν υπάρχει άμεση απόδειξη παραβίασης.
ΣΥΖΗΤΗΣΗ
Προσθήκη σχόλιου