Ancora irrisolto un bug di Windows Live

Nonostante Microsoft sostenga di aver riparato la falla segnalata dallo sviluppatore indipendente olandese Erik Duindam, pare che siano ancora validi tutta una serie di account Live creati con falsi indirizzi email. Trattasi di un problema non indifferente specialmente nell’ottica degli attacchi phishing, ove l’accreditamento tramite un indirizzo mail posticcio è la tecnica più comune in adozione tra i malintenzionati.

Il problema infatti è tutto incentrato sul sistema di verifica della validità dell’indirizzo email al momento di sottoscrivere un nuovo account Live: il portale Microsoft richiede l’inserimento di un indirizzo email per verificare l’identità e l’unicità dell’utente e per validarne la registrazione. Fino al momento in cui l’indirizzo non è riconosciuto come autentico e non viene validato, al posto dell’ID e del nick compare l’indirizzo in questione con l’indicazione “email address not verified”, dando comunque la possibilità a chi ha registrato l’account di accedere a tutte le funzioni di Live.

Può accadere dunque che un phisher si registri con indirizzi inesistenti che sembrano far capo ad esempio a istituti di credito per inviare catene, spammare i messenger o compiere altri atti simili simulando una qualsiasi identità. I più sprovveduti noteranno unicamente l’indirizzo email senza badare all’alert “email address not verified” che segue.

Il fatto che il bug non sia stato del tutto rimosso (alcuni account creati nel weekend con indirizzi fasulli sono ancora attivi) dimostra come al momento non c’è modo di sapere quanti account fasulli siano stati creati e bloccarli del tutto. Per ora dunque la vulnerabilità rimane, così come rimane il rischio di una falsificazione dell’identità ben più professionale e convincente delle solite email di phishing a cui anche il pubblico meno esperto si è abituato.