A Microsoft foi vítima de uma nova brecha de segurança em seu serviço de webmail do Outlook.com, que inclui contas de e-mail do @hotmail e @msn. Os atacantes roubaram dados de acesso da equipe de suporte do Outlook.com e, logo em seguida, utilizaram essas informações para acessar contas de usuários.

O fato foi confirmado pela Microsoft em vários meios de comunicação. A empresa disse que "o incidente que afetou um número limitado de contas foi resolvido depois de desabilitar as credenciais das contas comprometidas e bloquear o acesso aos atacantes", destacou um porta-voz da empresa para o TechCrunch.

Nas últimas semanas, um usuário postou um comentário no reddit junto com uma captura de tela do e-mail que recebeu da Microsoft, no qual a empresa informa sobre o acesso não autorizado ocorrido entre 1º de janeiro de 2019 e 28 de março de 2019. A notificação também explicou que o incidente poderia ter permitido que terceiros acessassem informações relacionadas à sua conta de e-mail. Entre os dados que os atacantes podem ter acessado estão e-mails de contatos, nomes de pastas ou descrição de assuntos de e-mails, mas sem qualquer tipo de acesso ao conteúdo dos e-mails ou anexos, afirmou a empresa na mensagem enviada para os usuários afetados.

No entanto, a Microsoft não enviou a mesma mensagem para todos os usuários afetados e uma pequena porcentagem - perto de 6% - recebeu um e-mail diferente no qual foi comunicado que os atacantes poderiam ter tido acesso ao conteúdo dos e-mails de algumas contas, revelou o site Motherboard. Deve-se notar que as credenciais de acesso às contas não foram afetadas pelo incidente e que as contas corporativas ou contas pagas utilizadas pelas empresas não foram afetadas.

Embora a Microsoft já tenha resolvido o incidente, a empresa recomenda, como precaução, que os usuários alterem suas senhas de acesso às contas. Além disso, como resultado do caso, é provável que os usuários recebam e-mails de phishing ou outros tipos de spam, por isso a empresa tamabém pede que os usuários sejam cuidadosos ao receber e-mails de domínios estranhos ou que solicitam informações pessoais, realização de pagamentos ou qualquer outra ação suspeita.