Alcuni utenti in possesso di un account Microsoft stanno ricevendo delle notifiche che informano la sospensione dell’account a causa di attività sospette. Questo nonostante sia abilitata l’autenticazion a 2 fattori nell’account, vediamo,cosa sta succedendo.
Sincronizzazioni eseguite negli USA
Molti utente hanno ricevuto email di questo tipo:
La mail in oggetto indica che sono state riscontrate attività insolite nell’account, come ad esempio la sincronizzazione o l’accesso in un nuovo dispositivo non autorizzato
Anche andando a cambiare la password o abilitando l’autenticazione a 2 fattori si ripete lo stesso problema.
Le segnalazioni continuano a moltiplicarsi e c’è un thread nel Microsoft Answers americano ove sono riportate tante risorse correlate alla questione. Sembra infatti che gli IP collegati a queste “attività sospette” siano di proprietà Microsoft, cosa che fa pensare ad un coinvolgimento del servizio Azure, come suggerito anche da Borncity.
Gli IP incriminati sono:
IP: 13.101.146.56 – IP endpoint – Microsoft, Redmond Wa
IP: 13.101.145.237 – IP endpoint – Microsoft, Redmond Wa
IP 13.101.148.41 – IP endpoint – Microsoft, Redmond Wa
Quali ipotesi ci sono in fase di analisi?
In attesa di una risposta ufficiale da parte di Microsoft ci sono due ipotesi dietro a questo problema:
- Utilizzo fraudolento di account Azure da terze parti per attacchi verso singoli account
- Bug o problema nel livello di autenticazione a 2 fattori
Sono entrambi due ipotesi molto forti, la prima potrebbe essere sicuramente più plausibile anche se non avrebbe avuto vita lunga, viste le implementazioni di sicurezza presenti in Azure.
La secondo implicherebbe potenzialmente un enorme problema di sicurezza per i tantissimi account Microsoft in essere. In attesa che ci sia una risposta ufficiale da parte di Microsoft possiamo consigliare di rimuovere la password dall’account Microsoft, usando SOLO l’autenticazione a 2 fattori per l’accesso. DI seguito la guida: