Microsoft confirmó esta semana que sin darse cuenta expuso información relacionada con miles de clientes luego de un lapso de seguridad que dejó un punto final accesible públicamente a través de Internet sin autenticación.
«Esta mala configuración resultó en el potencial de acceso no autenticado a algunos datos de transacciones comerciales correspondientes a las interacciones entre Microsoft y posibles clientes, como la planificación o la posible implementación y provisión de servicios de Microsoft», dijo Microsoft en una alerta.
La configuración incorrecta de Azure Blob Storage fue detectada el 24 de septiembre de 2022 por la empresa de ciberseguridad SOCRadar, que denominó la fuga BlueBleed . Microsoft dijo que está en proceso de notificar directamente a los clientes afectados.
El fabricante de Windows no reveló la magnitud de la fuga de datos, pero según SOCRadar, afecta a más de 65.000 entidades en 111 países. La exposición asciende a 2,4 terabytes de datos que consisten en facturas, pedidos de productos, documentos de clientes firmados, detalles del ecosistema de socios, entre otros.
“Los datos expuestos incluyen archivos con fecha de 2017 a agosto de 2022”, dijo SOCRadar .
Sin embargo, Microsoft ha cuestionado el alcance del problema, afirmando que los datos incluían nombres, direcciones de correo electrónico, contenido de correo electrónico, nombre de la empresa y números de teléfono, y archivos adjuntos relacionados con negocios «entre un cliente y Microsoft o un socio autorizado de Microsoft».
También afirmó en su divulgación que la compañía de inteligencia de amenazas «exageró mucho» el alcance del problema ya que el conjunto de datos contiene «información duplicada, con múltiples referencias a los mismos correos electrónicos, proyectos y usuarios».
Además de eso, Redmond expresó su decepción por la decisión de SOCRadar de lanzar una herramienta de búsqueda pública que, según dijo, expone a los clientes a riesgos de seguridad innecesarios.
SOCRadar, en una publicación de seguimiento el jueves, comparó el motor de búsqueda BlueBleed con el servicio de notificación de violación de datos «Have I Been Pwned», que permite a las organizaciones buscar si sus datos estuvieron expuestos en una fuga de datos en la nube.
El proveedor de ciberseguridad también dijo que suspendió temporalmente todas las consultas de BlueBleed en el módulo Threat Hunting que ofrece a sus clientes a partir del 19 de octubre de 2022, luego de la solicitud de Microsoft.
«Microsoft no puede (léase: negarse) a decirles a los clientes qué datos se tomaron y aparentemente no notificar a los reguladores, un requisito legal, tiene el sello de una gran respuesta fallida», tuiteó el investigador de seguridad Kevin Beaumont . «Espero que no lo sea».
Beaumont dijo además que el cubo de Microsoft «ha sido indexado públicamente durante meses» por servicios como Grayhat Warfare y que «incluso está en los motores de búsqueda».
No hay evidencia de que los actores de amenazas accedieran indebidamente a la información antes de la divulgación, pero dichas filtraciones podrían explotarse con fines maliciosos, como extorsión, ataques de ingeniería social o una ganancia rápida.
«Si bien algunos de los datos a los que se puede haber accedido parecen triviales, si SOCRadar tiene razón en lo que se expuso, podría incluir información confidencial sobre la infraestructura y la configuración de la red de los clientes potenciales», dijo Erich Kron, defensor de la conciencia de seguridad en KnowBe4. The Hacker News en un correo electrónico.
«Esta información podría ser valiosa para los atacantes potenciales que pueden estar buscando vulnerabilidades dentro de las redes de una de estas organizaciones».