Se neanche Microsoft si fida di Microsoft

Ricevo periodicamente degli avvisi dal sito di Microsoft Career che m’informano dell’uscita di nuove offerte di lavoro che potrebbero interessarmi e da qualche tempo ho installato Windows Live Mail, per provarlo.

Come tutti i bravi client di posta dell’ultima generazione contiene un bel filtro anti-phishing che funziona mediamente benino. Anche se per un attimo ho pensato il contrario.

Guardate cosa è successo oggi:

Poi ho verificato meglio, andando ad esplorare i link contenuti nella mail. Effettivamente l’errore è stato di chi ha composto la mail, perché ha scritto il link usando non il nome di dominio, ma l’indirizzo IP, cosa che insospettisce (giustamente) tutti i filtri antiphishing. Infatti il link del titolo della posizione punta è:

http://194.185.99.16/html/people/people_sfoglia_annunci.asp?cmdRS=open&UID=26242912&cmdJobs=online&AID=15152185

Che veramente porta a Microsoft Career Italy.

Poi, per verificare che non fosse un sito clone molto ben fatto, ho controllato sul database del RIPE (l’autorità europea che assegna gl’indirizzi IP) ed è venuto fuori che quell’IP (194.185.99.16) corrisponde ad una società di Milano che si chiama Altamira S.r.l., che guarda caso si occupa di recruiting.

Scopa! Microsoft ha dato in outsoucing il servizio di recruiting ad Altamira S.r.l., che si occupa anche di gestire il mailing e i servizi di alerting. Probabilmente chi gestisce il CRM di Altamira ha fatto con troppa leggerezza un Copia e Incolla per inserire il link all’offerta oppure c’è un errore di configurazione nel sistema.

Bel danno d’immagine provoca alla Microsoft questo scherzetto. I messaggi inviati dalla Microsoft vengono marcati come spam o (peggio ancora) come phishing dagli stessi prodotti Microsoft.

Ci tengo a precisare che non biasimo la società Altamira, perché loro si occupano (o si dovrebbero occupare) solo di contenuti e di recruiting. È Microsoft che dovrebbe avere il controllo pieno di ogni aspetto tecnico ed implementare un sistema di controlli che eviti questo tipo di figuracce. Secondo me è un tipico esempio di outsourcing fatto male.

6 Responses to “Se neanche Microsoft si fida di Microsoft”

  1. maria  on October 8th, 2008

    scusa, ma una frase come “Microsoft ha dato in outsoucing (!) il servizio di recruiting (!!) ad Altamira S.r.l., che si occupa anche di gestire il mailing (!!!) e i servizi di alerting (!!!!)” non è possibile scriverla in italiano? ;-)

  2. gibilix  on October 8th, 2008

    Allora, ricevo dalla Piccolamolle degli avvisi che m’informano [...] e da qualche tempo ho installato Finestre Posta Viva. Come tutti i bravi clienti di posta (ma non quelli che stanno in fila per le raccomandate…) contiene un bel filtro anti-phesca.

    [...]

    il collegamento a Piccolamolle Carriera Italia…

    Piccolamolle ha esternalizzato il servizio di ricerca del personale ad Altamira S.r.l. che si occupa di gestire i servizi di comunicazione postale e di avvisi…

    Va bene così?

  3. maria  on October 8th, 2008

    benissimo, non si capisce niente :-) ))

  4. stellavale  on October 17th, 2008

    Bè comico no?

  5. johnmartelli  on January 12th, 2009

    Buongiorno,

    grazie della sua corretta analisi. Microsoft ha in effetti dato in outsourcing il suo career center ad Altamira.
    L’uso dell’indirizzo IP nel sito (e di conseguenza necessariamente nelle comunicazioni che ne originano) è dovuto alla policy di Microsoft che vieta l’uso della parola “microsoft” nel nome di dominio di un sito in outsourcing collegato direttamente a microsoft.com. Nel caso noi subissimo un attacco di “defacing” l’uso dell’IP impedirebbe all’aggressore di abbinare il suo messaggio ad un nome di dominio con la parola “microsoft” in un sito collegato direttamente da microsoft.com.

    Si tratta di un caso in cui le esigenze di business sono in conflitto con un aspetto delle esigenze tecniche, ma mi sembra un po’ eccessivo parlare di “figuracce” o “outsourcing fatto male”.

    Un cordiale saluto,

    John Martelli
    Altamira

  6. gibilix  on January 13th, 2009

    Salve Sig. Martelli,

    la ringarzio della sua riposta esaustiva, alla luce della quale capisco che il problema nasce dal dover scegliere tra esigenze contrastanti. Effettivamente ritiro la mia espressione “outsourcing fatto male”, visto che una seria preuccupazione per la sicurezza dell’outsourcing c’è.

    Tuttavia resto dell’idea che un evento del genere possa contribuire negativamente alla credibilità dei prodotti di sicurezza Microsoft, sempre sotto il fuoco incrociato di media e opinionisti anti-microsoft di mestiere. Accettare una certa percentuale di falsi positivi è un scelta obbligata nella configurazione di qualsiasi prodotto di sicurezza, ma quando il falso positivo riguarda un controllato che coincide con il controllore, soprattutto nel caso di un colosso come Microsoft, può far nascere seri dubbi sulla capacità del controllore a chi non è in grado di ricostruire lo scenario che c’è dietro. Il termine “figuraccia” si riferiva a questo pericolo.

    Detto questo non era mia intenzione offendere né Microsoft, né tanto meno Altamira, quanto esemplificare la questione della sicurezza nell’outsourcing, troppo spesso sottovalutata o addirittura ignorata nelle aziende ed organizzazioni italiane.

    Cordiali saluti,
    Gibilix


Leave a Reply