最近一名研究人员发现了一个漏洞，任何人都可以冒充微软公司的电子邮件账户，使网络钓鱼看起来可信，从而更有可能欺骗目标。

为了演示这个漏洞，研究人员向 TechCrunch 发送了一封看起来像是微软账户安全团队发送的电子邮件。

上周，网名为 Slonser 的 Vsevolod Kokorin 在 X（前身为 Twitter）上写道，他发现了电子邮件欺骗漏洞并向微软报告，但微软表示无法重现他的发现，然后驳回了他的报告。这促使 Kokorin 在 X 上公布了这一漏洞，但没有提供有助于他人利用这一漏洞的技术细节。

Kokorin 在一次在线聊天中告诉 TechCrunch：“微软只是说他们无法重现，却没有提供任何细节。微软可能注意到了我的推文，因为几个小时前他们重新打开了我几个月前提交的一份报告。”

Kokorin 称，该漏洞仅在向 Outlook 账户发送电子邮件时有效。尽管如此，根据微软最新的财报，全球至少有 4 亿用户。

Kokorin 表示，他最后一次与微软联系是6月15日。微软周二没有回应 TechCrunch 的置评请求。

TechCrunch 没有透露该漏洞的技术细节，以防止恶意黑客利用该漏洞。

“我没想到我的帖子会引起如此大的反响。老实说，我只是想分享我的挫败感，因为这种情况让我很难过，”Kokorin 说，“许多人误解了我，以为我想要钱或类似的东西。实际上，我只是希望公司不要忽视研究人员，当你试图帮助他们时，应该更加友好。”

除了 Kokorin 之外，是否有其他人发现了这个漏洞，或者这个漏洞是否被恶意利用，目前还不得而知。

虽然目前还不知道这个漏洞的威胁有多大，但微软近年来已经经历了多次安全问题，引发了联邦监管机构和国会立法者的调查。

上周，微软总裁Brad Smith在众议院听证会上作证，因为2023年微软服务器被窃取了一批美国重要的电子邮件。他在听证会上承诺，在经历了一系列安全丑闻之后，公司将继续努力将网络安全放在首位。

几个月前的1月份，微软证实，一个黑客组织侵入了微软公司的电子邮件账户，窃取了公司高层对黑客了解的情况的信息。上周，ProPublica 揭露，微软没有注意到关于一个关键漏洞的警告，该漏洞后来在俄罗斯支持的针对SolarWinds公司的网络间谍活动中被利用。