Nelle ultime ore, anche Microsoft è risultata vulnerabile a una serie di malware di media entità, in grado di compromettere l’integrità dei dati relativi agli utenti dei sistemi operativi Windows.
In particolare, le analisi condotte da un gruppo di ricercatori indipendenti hanno svelato come le piattaforme di Redmond non siano capaci di garantire l’inviolabilità dell’identificativo univoco dell’utente (Cid); una stringa di testo che, purtroppo, viene trasmessa in chiaro anche quando la connessione è cifrata, con tutte le conseguenze immaginabili per quanto riguarda l’eventualità, da parte dei cyber criminali, di profilare gli utenti e le rispettive abitudini di navigazione.
Più nello specifico, quando questi ultimi eseguono l’accesso a uno degli account Microsoft esistenti, il Cid viene automaticamente comunicato come parte della richiesta di lookup al sistema DNS.
All’interno dello stesso Cid, un hacker di media esperienza può scovare innumerevoli dati, tra cui il nome dell’account utente, lo storico degli accessi, le informazioni nel calendario Live e le geoposizioni.
Microsoft sembra essere vicina alla risoluzione del bug. D’altra parte, nel frattempo, un’altra importante vulnerabilità è apparsa evidente: all’interno del componente denominato Outlook Web App del server Exchange, un malware dotato di specifica backdoor ha permesso finora a un’ignota organizzazione criminale di trafugare centinaia di migliaia di password.