imágenes falsas
Microsoft se enfrenta a críticas por la forma en que reveló un fallo de seguridad reciente que expuso lo que una empresa de seguridad dijo que eran 2,4 terabytes de datos que incluían facturas y contratos firmados, información de contacto y correos electrónicos de 65.000 clientes actuales o potenciales durante cinco años.
Los datos, de acuerdo con una divulgación publicado el miércoles por la firma de seguridad SOCRadar, abarcó los años 2017 a agosto de 2022. El tesoro incluía prueba de ejecución y declaración de documentos de trabajo, información del usuario, pedidos/ofertas de productos, detalles del proyecto, información de identificación personal y documentos que pueden revelar información intelectual. propiedad. SOCRadar dijo que encontró la información en un solo depósito de datos que fue el resultado de una configuración incorrecta Almacenamiento de blobs de Azure
¿Microsoft no puede, o Microsoft no lo hará?
microsoft publicó su propia divulgación el miércoles que dijo que la compañía de seguridad “exageró enormemente el alcance de este problema” porque algunos de los datos expuestos incluían “información duplicada, con múltiples referencias a los mismos correos electrónicos, proyectos y usuarios”. A demás de usar la palabra “problema” como un eufemismo para “fuga”, Microsoft también dijo: “El problema fue causado por una configuración incorrecta no intencional en un punto final que no está en uso en todo el ecosistema de Microsoft y no fue el resultado de una vulnerabilidad de seguridad. ”
Ausentes de la publicación básica, de 440 palabras, había detalles cruciales, como una descripción más detallada de los datos que se filtraron o cuántos clientes actuales o potenciales Microsoft realmente cree que se vieron afectados. En cambio, la publicación reprendió a SOCRadar por usar números con los que Microsoft no estaba de acuerdo y por incluir un buscador la gente podría usar para determinar si sus datos estaban en el cubo expuesto. (Desde entonces, la empresa de seguridad ha restringido el acceso a la página).
Cuando un cliente afectado se puso en contacto con Microsoft para preguntar qué datos específicos pertenecientes a su organización estaban expuestos, el respuesta fue: “No podemos proporcionar los datos afectados específicos de este problema”. Cuando el cliente afectado protestó, el ingeniero de soporte de Microsoft se negó una vez más.
Los críticos también criticaron a Microsoft por la forma en que notificó directamente a los afectados. La empresa se puso en contacto con las entidades afectadas a través del Centro de mensajes, un sistema de mensajería interna que Microsoft usa para comunicarse con los administradores. No todos los administradores tienen la capacidad de acceder a esta herramienta, por lo que es probable que algunas notificaciones no se hayan visto. Los mensajes directos mostrados en Twitter también mostraban a Microsoft diciendo que la empresa no estaba obligada por ley a revelar el lapso a las autoridades.
“MS no puede (léase: negarse) a decirles a los clientes qué datos se tomaron y aparentemente no notificar a los reguladores, un requisito legal, tiene el sello de una gran respuesta fallida”, Kevin Beaumont, investigador independiente, escribió en Twitter. “Espero que no lo sea”.
Continuó publicando capturas de pantalla que documentan que los datos expuestos han sido disponible públicamente durante meses en Guerra de sombrero grisuna base de datos que recoge y almacena los datos expuestos en depósitos públicos.
Como indican las imágenes de Grayhat Warfare que publicó Beaumont, los datos almacenados en caché incluían contratos y órdenes de compra firmados digitalmente. Dijo que otros datos expuestos incluyen “correos electrónicos de US.gov, hablando de proyectos O365, dinero, etc.” También incluyó información perteneciente al CNIabreviatura de infraestructura nacional crítica.
Además de las críticas sobre la forma en que Microsoft ha revelado la filtración, el incidente también plantea dudas sobre las políticas de retención de datos de Microsoft. A menudo, los datos de años de antigüedad son más beneficiosos para los delincuentes potenciales que para la empresa que los posee. En casos como estos, la mejor opción suele ser destruir periódicamente los datos.
Microsoft no respondió de inmediato a un correo electrónico en busca de comentarios para esta historia.
Los clientes empresariales potenciales o reales de Microsoft durante los últimos cinco años deben revisar las publicaciones de blog vinculadas anteriormente y también consultar el Centro de mensajes para ver si hay notificaciones de exposición. En caso de que una organización se vea afectada, el personal debe estar atento a estafas, correos electrónicos de phishing u otros intentos de explotar la información expuesta.