Microsoft confirmó esta semana que expuso inadvertidamente información relacionada con miles de clientes tras un fallo de seguridad que dejó un punto final accesible públicamente a través de Internet sin ninguna autenticación.
"Esta mala configuración dio lugar a la posibilidad de acceder sin autenticación a algunos datos de transacciones comerciales correspondientes a las interacciones entre Microsoft y los posibles clientes, como la planificación o la posible implementación y el aprovisionamiento de los servicios de Microsoft", dijo Microsoft en una alerta.
La desconfiguración del Azure Blob Storage fue detectada el 24 de septiembre de 2022 por la empresa de ciberseguridad SOCRadar, que calificó la filtración como BlueBleed. Microsoft dijo que está en proceso de notificar directamente a los clientes afectados.
El fabricante de Windows no reveló la magnitud de la fuga de datos, pero según SOCRadar, afecta a más de 65.000 entidades en 111 países. La exposición asciende a 2,4 terabytes de datos que consisten en facturas, pedidos de productos, documentos de clientes firmados, detalles del ecosistema de socios, entre otros.
"Los datos expuestos incluyen archivos fechados entre 2017 y agosto de 2022", ha señalado SOCRadar.
Microsoft, sin embargo, ha rebatido el alcance del asunto, afirmando que los datos incluían nombres, direcciones de correo electrónico, contenido del correo electrónico, nombre de la empresa y números de teléfono y archivos adjuntos relacionados con negocios "entre un cliente y Microsoft o un socio autorizado de Microsoft."
También afirmó en su revelación que la empresa de inteligencia de amenazas "exageró mucho" el alcance del problema, ya que el conjunto de datos contiene "información duplicada, con múltiples referencias a los mismos correos electrónicos, proyectos y usuarios."
Además, Redmond expresó su decepción por la decisión de SOCRadar de liberar una herramienta de búsqueda pública que, según dijo, expone a los clientes a riesgos de seguridad innecesarios.
SOCRadar, en un post de seguimiento el jueves, comparó el motor de búsqueda BlueBleed con el servicio de notificación de violación de datos "Have I Been Pwned", permitiendo a las organizaciones buscar si sus datos fueron expuestos en una fuga de datos en la nube.
El proveedor de ciberseguridad también dijo que ha suspendido temporalmente todas las consultas de BlueBleed en el módulo "Threat Hunting" que ofrece a sus clientes a partir del 19 de octubre de 2022, tras la petición de Microsoft.
"Que Microsoft sea incapaz (léase: que se niegue) de decir a los clientes qué datos fueron tomados y que aparentemente no notifique a los reguladores (un requisito legal) tiene las características de una gran respuesta chapucera", tuiteó el investigador de seguridad Kevin Beaumont. "Espero que no lo sea".
Beaumont dijo además que el cubo de Microsoft "ha sido indexado públicamente durante meses" por servicios como Grayhat Warfare y que "está incluso en los motores de búsqueda."
No hay pruebas de que los actores de la amenaza hayan accedido a la información de forma indebida antes de la revelación, pero estas filtraciones podrían ser explotadas con fines maliciosos como la extorsión, los ataques de ingeniería social o un beneficio rápido.
"Aunque algunos de los datos a los que se puede haber accedido parecen triviales, si SOCRadar tiene razón en lo que se expuso, podría incluir alguna información sensible sobre la infraestructura y la configuración de la red de los clientes potenciales", dijo Erich Kron, defensor de la concienciación sobre la seguridad en KnowBe4.
"Esta información podría ser valiosa para potenciales atacantes que podrían estar buscando vulnerabilidades dentro de las redes de una de estas organizaciones".