一名研究人員發現了一個漏洞，任何人都可以冒充微軟公司的電子郵件帳戶，使網路釣魚企圖看起來可信，更有可能欺騙目標。截至目前，該漏洞尚未修補。為了演示漏洞，研究人員向媒體發送了一封郵件，看起來像是微軟帳戶安全團隊發送的。

上週，網名為Slonser 的Vsevolod Kokorin 在X（Twitter 的前身）上寫道，他發現了電子郵件欺騙漏洞並向微軟報告，但微軟在表示無法重現他的發現後駁回了他的報告。這促使Kokorin 在X 上公佈了這一漏洞，但沒有提供技術細節以幫助其他人利用這一漏洞。”微軟只是說他們無法重現，但沒有提供任何細節，”Koroin 在一次線上聊天中表示。 “微軟可能注意到了我的推文，因為幾個小時前他們重新打開了[原文如此]我幾個月前提交的一份報告。”

據Kokorin 稱，該漏洞僅在向Outlook 帳戶發送電子郵件時有效。不過，根據微軟最新的財報，全球至少有4 億用戶。

科科林說，他最後一次與微軟聯繫是在6月15日。

“我沒想到我的帖子會引起如此大的反響。老實說，我只是想分享我的挫敗感，因為這種情況讓我很難過，”Kokorin說。 “許多人誤解了我，以為我想要錢或類似的東西。實際上，我只是希望公司不要忽視研究人員，當你試圖幫助他們時，他們應該更加友好。”

目前還不清楚是否有Kokorin 以外的其他人發現了這個漏洞，或者這個漏洞是否已被惡意利用。

儘管目前尚不清楚這項漏洞的威脅，但微軟近年來已經歷了許多安全問題，並引發了聯邦監管機構和國會立法者的調查。

上週，微軟總裁布拉德史密斯（Brad Smith）在眾議院聽證會上作證，此前中國駭客於2023年從微軟伺服器上竊取了一批美國聯邦政府電子郵件。史密斯在聽證會上承諾，在經歷了一系列安全醜聞之後，公司將繼續努力將網路安全放在首位。

幾個月前的一月份，微軟證實，一個與俄羅斯政府有關聯的駭客組織侵入了微軟公司的電子郵件帳戶，竊取了公司高層對駭客本身的了解。上週，ProPublica 揭露，微軟沒有註意到關於一個關鍵漏洞的警告，該漏洞後來在俄羅斯支持的針對科技公司SolarWinds 的網路間諜活動中被利用。