أصلحت شركة مايكروسوفت ثغرة أمنية في نظام تسجيل الدخول الخاص بها، والذي يقول باحثو الأمن إنه كان من الممكن استخدامه لخداع الضحايا من قبل الهاكرز ومنحهم حق الوصول الكامل إلى حساباتهم عبر الإنترنت.
وبحسب موقع techcrunch الأمريكى، فقد سمحت هذه الثغرة الأمنية للهاكرز بسرقة رموز الحسابات بهدوء، وهي الرموز التي تستخدمها المواقع والتطبيقات لمنح المستخدمين حق الوصول إلى حساباتهم دون الحاجة إلى إعادة إدخال كلمات المرور الخاصة بهم باستمرار.
وتنشئ هذه الرموز المميزة بواسطة تطبيق أو موقع ويب بدلًا من اسم المستخدم وكلمة المرور بعد تسجيل دخول المستخدم، ويحافظ ذلك على تسجيل المستخدم باستمرار في الموقع، إلا أنه يسمح أيضًا للمستخدمين بالوصول إلى تطبيقات ومواقع الطرف الثالث دون الحاجة إلى تسليمها مباشرة كلمات المرور الخاصة بهم.
وقد عثر باحثو الأمن الرقمي في شركة CyberArk، أن مايكروسوفت تركت ثغرة غير مقصودة مفتوحة، وهي الثغرة التي كان من الممكن استخدامها لسرقة رموز الحسابات المستخدمة للوصول إلى حساب الضحية، وكان من المرجح أن يحدث ذلك دون تنبيه المستخدم على الإطلاق.
وكشفت الشركة أنها عثرت على العشرات من النطاقات الفرعية غير المسجلة المتصلة بعدد قليل من التطبيقات التي صممتها مايكروسوفت، وتعد هذه التطبيقات الداخلية موثوق بها للغاية، وبالتالي، يمكن استخدام النطاقات الفرعية المرتبطة لإنشاء رموز الوصول تلقائيًا دون الحاجة إلى موافقة صريحة من المستخدم.
ولحسن الحظ، فقد سجل الباحثون أكبر عدد ممكن من النطاقات الفرعية التي يمكنهم العثور عليها من تطبيقات مايكروسوفت الضعيفة لمنع أي سوء استخدام ضار، لكنهم حذروا من أنه قد يكون هناك المزيد.