Microsofts eigen e-mailadres vecht tegen zichzelf en verstuurt maandenlang spam

Maandenlang maken oplichters misbruik van een mazen in de wet die hen in staat stelt spam-e-mails te versturen vanaf een intern Microsoft-e-mailadres - hetzelfde adres dat Microsoft gebruikt voor legitieme accountmeldingen, want blijkbaar heeft niemand eraan gedacht die deur op slot te doen.

Het blijft onduidelijk hoe de oplichters precies het systeem misbruiken, maar ze zijn erin geslaagd nieuwe Microsoft-accounts aan te maken die zich voordoen als nieuwe klanten en die toegang te gebruiken om e-mails te versturen die afkomstig lijken van de techgigant zelf. Want niets zegt 'vertrouw ons' als een neppe e-mail van een echt bedrijf.

Microsoft lijkt de situatie nog niet onder controle te hebben. Vorige week ontving TechCrunch verschillende soortgelijke e-mails met spamachtige onderwerpregels en links, allemaal verzonden vanaf msonlineservicesteam@microsoftonline.com - hetzelfde adres dat Microsoft gebruikt voor tweefactorauthenticatiecodes en andere kritieke meldingen. Sommige onderwerpregels imiteerden officiële fraude-alerts; andere beweerden dat er een privébericht op de ontvanger wachtte op een verdachte link.

Op dinsdag plaatste de anti-spam non-profitorganisatie The Spamhaus Project dat het dit misbruik al 'enkele maanden' had opgemerkt. 'Geautomatiseerde meldingssystemen zouden dit niveau van aanpassing niet moeten toestaan', schreef Spamhaus droogjes, nadat het Microsoft op de hoogte had gesteld van het probleem.

TechCrunch nam eerder deze week contact op met Microsoft; een woordvoerder erkende het verzoek, maar heeft nog niet gereageerd of bevestigd of het misbruik is gestopt. Dit is het laatste in een reeks incidenten waarbij hackers of oplichters bedrijfssystemen misbruikten om klanten te misleiden. Eerder dit jaar braken hackers in op een platform dat gebruikt wordt door fintechbedrijf Betterment om frauduleuze meldingen te versturen die beloofden de crypto-inkomsten van gebruikers te verdrievoudigen - een klassieke oplichting. En in 2023 misbruikten hackers op dezelfde manier een e-mailaccount van Namecheap om phishing-e-mails te versturen.

Andere gebruikers op sociale media melden dat ook e-mailadressen van andere bedrijven worden gebruikt voor spam, wat suggereert dat Microsoft niet alleen staat in zijn heerlijke gebrek aan beveiliging.