Iscriviti
Analisi Strumenti digitali

Falla "SearchLeak" in Microsoft 365 Copilot: con un clic si rubavano email e codici 2FA

Una falla critica in Microsoft 365 Copilot ("SearchLeak") permetteva di esfiltrare email, file e perfino codici 2FA con un solo clic, partendo da un link su dominio microsoft.com. Già corretta lato server: cosa insegna alle PMI italiane.

Di Redazione Fattore Crescita 4 min

C’è una notizia di sicurezza che merita di essere tradotta dal “tecnichese”, perché tocca uno strumento ormai diffusissimo anche tra le piccole imprese: Microsoft 365 Copilot. I ricercatori di Varonis Threat Labs hanno rivelato il 15 giugno una falla critica — battezzata “SearchLeak” — che permetteva, con un solo clic, di rubare email, file e perfino i codici di autenticazione a due fattori (2FA) ricevuti in posta.

La buona notizia, prima di tutto: secondo le fonti Microsoft ha già corretto la falla lato server e non è richiesta alcuna azione agli utenti. La cattiva è la lezione che ci lascia.

Cosa faceva, in parole semplici

L’attacco partiva da un link malevolo ospitato su un dominio reale microsoft.com: proprio perché l’indirizzo sembrava legittimo, i normali filtri anti-phishing non lo bloccavano. Bastava che l’utente lo cliccasse perché Copilot — l’assistente AI integrato in Word, Outlook e nel resto della suite — venisse manipolato per cercare e far uscire dati sensibili dalla casella e dai file dell’azienda.

Tra questi dati, il dettaglio che fa la differenza: i codici OTP/2FA e i link di reset password che molte aziende ricevono proprio via email.

1 clic
sufficiente, da un link su dominio microsoft.com

La falla SearchLeak permetteva di esfiltrare email, file e codici 2FA aggirando i filtri anti-phishing perché il link sembrava legittimo. Microsoft ha già rimediato lato server.

Fonte: BleepingComputer, Varonis Threat Labs — giugno 2026

Perché riguarda anche una piccola impresa

Microsoft 365 con Copilot è entrato in moltissime PMI italiane, spesso senza un reparto IT che ne presidi la sicurezza. Il punto delicato non è solo questa specifica falla — già chiusa — ma ciò che rivela: se un secondo fattore di sicurezza arriva via email, chi accede alla posta può aggirarlo. L’autenticazione a due fattori serve proprio a proteggere l’accesso anche quando la password è compromessa; ma se il “secondo fattore” vive nella stessa casella, l’intera difesa si indebolisce.

Il secondo fattore non va dove c'è il primo

Ricevere i codici 2FA via email è comodo, ma li mette nello stesso posto che dovrebbero proteggere. App di autenticazione e passkey li tengono separati: è lì che SearchLeak non sarebbe arrivato.

Cosa fare, concretamente

Non serve allarmarsi per una falla già corretta. Servono due abitudini più solide:

  1. Spostare i secondi fattori dalle email a un’app di autenticazione o alle passkey. Sono gratuite, più sicure e non transitano dalla posta.
  2. Diffidare dei link anche su domini “fidati”. Un indirizzo che inizia con microsoft.com (o con il nome di qualsiasi marchio noto) non è di per sé una garanzia: conta dove porta davvero.

In breve

La falla SearchLeak mostrava come un assistente AI potesse essere piegato a rubare email e codici 2FA con un clic, partendo da un link apparentemente legittimo. Microsoft l’ha chiusa. Ma la lezione per una PMI resta: i codici di sicurezza non vanno tenuti nella stessa casella che dovrebbero proteggere. Spostarli su un’app di autenticazione è una mossa a costo zero che chiude un rischio ben più ampio di questa singola vulnerabilità.

Fonti consultate

  1. BleepingComputer — New attack turned Microsoft 365 Copilot into 1-click data theft tool · press
  2. Varonis Threat Labs — SearchLeak (ricerca originale) · primary
  3. Cyber Security News — Microsoft 365 Copilot one-click vulnerability · press

Letture correlate