Уязвимость SearchLeak в Microsoft Copilot позволяла похищать почту и коды подтверждения после перехода по ссылке
Исследователи описали уязвимость SearchLeak в Microsoft Copilot. Её можно было использовать в сценарии «1-Click» атаки: пользователю достаточно перейти по специально подготовленной ссылке, после чего система могла извлечь конфиденциальные данные.
Схема работала так: Copilot находил нужную информацию, а Bing применялся для её доставки. В итоге злоумышленник получал доступ к содержимому почты и кодам подтверждения. Отдельно подчёркивается, что атака могла происходить через сайты Microsoft, которым пользователи обычно доверяют.