skip to Main Content

Cybersecurity, anomalia dell’account Microsoft legata agli alias

Analisi tecnica del Malware Hunter JAMESWT

Scopro da Microsoft di avere un account riconosciuto, ma che non esiste

Mi è arrivata una email di Microsoft su Gmail, in cui si spiega che per il nome account Microsoft ja***@gmail.com (il quale corrisponde a un mio indirizzo su Gmail) è stata cambiata la password.

Io, però, non possiedo quel nome account. Questo, infatti, è solo l’indirizzo email di recupero di altri 2 account Microsoft “@outlook.com”. Incuriosito, provo a loggarmi con ja***@gmail.com. Lo username viene accettato e bisogna inserire la password.

 

Non avendola, faccio richiesta di “recupero password”, ma mi viene comunicato che il nome utente non esiste.

Come è possibile se lo ha appena accettato? Insospettito, decido di approfondire la questione.

Effettuando alcuni test, ho rilevato che creando nuovamente il mio account, appaiono associati numeri di telefono di altri. Che succede?

Come prima cosa, verifico gli alias collegati all’account Microsoft ja***@gmail.com. Qui trovo il mio numero di telefono, i 2 account Microsoft “@outlook.com” e un numero che non conosco: +63 9283791071. Decido di cambiare le email di recupero, togliendo quelle esistenti e quindi di creare un nuovo account con il nome “incriminato”, visto che non esiste. Anche qui arriva una sorpresa: Microsoft mi avvisa che è possibile ja****@gmail.com sia già utilizzato da un altro account.

Proseguo lo stesso e lo creo, inserendo i dati personali e la password. Completato con successo il processo, tento un nuovo test: chiedo quali siano i nomi utenti (alias) associati al mio nuovo account. La risposta è sconcertante. C’è il numero di telefono che ho inserito, ma anche lo +63 9283791071.

Peraltro, sfruttando questo numero, si può resettare la password.

Microsoft svela il mistero, ma solo in parte

Come è possibile tutto ciò? Microsoft ha motivato l’anomalia con alcune considerazioni. Innanzitutto, c’è il fatto che probabilmente l’account email ja****@gmail.com era stato creato in passato, ma il proprietario potrebbe non averlo utilizzato per troppo tempo e il sistema formalmente lo ha chiuso. Questo, però, non è stato cancellato. Da qui il messaggio sul fatto che “potrebbe essere già in uso”. Inoltre, Outlook può usare una email o un dominio di terze parti come Gmail per ricreare l’account. Rimane, però, irrisolta la questione del telefono +63 9283791071. Peraltro, questo alias appare solo all’utente e non all’help desk. A proposito, mi hanno infatti consigliato di chiedere di eliminare il profilo contrassegnato da quel numero. “Come è possibile che un alias e/o una email di recupero @gmail possa diventare un account microsoft senza che arrivi alla email utlizzata un codice di conferma per continuare? forse in passato non era necessario? Le problematiche che ne conseguono penso siano evidenti. Che sia sia qualche bug reletivo agli alias/account se creati con nomi utenti / email che non siano outlook.com o hotmail?”

La chat con il supporto Microsoft

Back To Top