El holandés Dirk-jan descubre un problema de seguridad en Microsoft

"Estaba mirando la pantalla y pensé: Esto no puede estar pasando. Esto no puede estar funcionando..."

Al principio, es sobre todo incredulidad cuando Dirk-jan Mollema se da cuenta de la gravedad del error que acaba de descubrir. Y luego la seriedad lo invade. "No quiero hacer este tipo de cosas en absoluto; no quiero esa responsabilidad".

La falla que Mollema descubrió se encuentra en el servicio Microsoft Entra ID. Este es un supuesto servicio de autenticación que se utiliza para iniciar sesión en otros productos de Microsoft, como el servicio en la nube de Azure y la suite ofimática Microsoft 365.

Mollema encontró una nueva forma de iniciar sesión y realizar acciones en nombre de otros usuarios. "En realidad, estaba pensada para Microsoft, para uso interno. Pero yo también podría usarla".

Y ese método de inicio de sesión tenía una falla crucial: no verificaba si realmente se necesitaba acceder al sistema. De esta forma, un hacker podía acceder a los sistemas Microsoft de cualquier empresa.

"Así se puede ver, por ejemplo, quién trabaja allí y cuáles son sus datos", dice Mollema. "Y todo ello sin dejar rastro".

Peor aún: un hacker podría hacerse administrador y realizar todo tipo de cambios. «Así, los demás administradores verán que hay un nuevo usuario, así que no es algo que ocurre a escondidas», afirma Mollema. Pero de esta forma, un hacker podría acceder a todos los correos electrónicos y archivos de la empresa. «Y, por lo tanto, a todo tipo de datos personales, también».

En el vídeo a continuación, el periodista tecnológico Wouter van Dijke explica las consecuencias del error en Microsoft:

Cuando Mollema descubrió el error, lo reportó inmediatamente a Microsoft. "Creo que este es el informe más rápido que he escrito. Lo supe de inmediato: esto tenía que solucionarse lo antes posible. Así que lo reporté en dos horas".

Microsoft también se tomó el informe muy en serio. "Solucionaron el problema en tiempo récord. Finalmente, implementaron una solución a nivel mundial en tres días. Eso es realmente rápido para una empresa tan grande como Microsoft".

La gravedad de la situación también queda patente en la advertencia emitida por Microsoft, que califica el error sobre 10, la puntuación máxima.

Cualquiera que descubra un problema de seguridad y lo reporte a Microsoft puede esperar una recompensa. Estas llamadas recompensas por errores pueden alcanzar al menos 100.000 dólares (85.000 euros). Mollema se negó a revelar cuánto le pagó Microsoft. "Pero definitivamente tienen una recompensa por errores". dado."

Gracias al informe de Mollema, Microsoft pudo corregir rápidamente la vulnerabilidad. No parece que otros hayan descubierto el mismo problema ni lo hayan explotado. Mollema: «Microsoft investigó esto y afirma no haber detectado ningún abuso. Supongo que es cierto. Pero nunca se puede estar completamente seguro».

Las empresas que utilizan los servicios de Microsoft ya no tienen de qué preocuparse, afirma Mollema. «Este problema fue realmente culpa de Microsoft. Como empresa, no había nada que pudiéramos hacer al respecto. En esencia, no es necesario que las empresas hagan nada, porque Microsoft ya lo ha solucionado».

El impacto de un hackeo puede ser significativo. Los datos de Sandra se filtraron de un laboratorio médico, como explica en este video: