.
A Microsoft confirmou um vazamento de dados vinculado a um servidor mal configurado para um serviço de armazenamento em nuvem, mas está contestando a extensão do problema.
Em um revelação Esta semana, o Security Response Center (MSRC) da Microsoft disse que o provedor de nuvem foi notificado pela empresa de inteligência de ameaças SOCRadar em 24 de setembro sobre o endpoint mal configurado que expôs dados de transações comerciais relacionados a interações entre a Microsoft e os clientes.
As informações incluíam planejamento ou potencial implementação e provisionamento de serviços da Microsoft, de acordo com o MSRC. Uma vez notificada, a Microsoft protegeu o endpoint, que agora só pode ser acessado por meio da autenticação necessária.
“Nossa investigação não encontrou nenhuma indicação de que contas ou sistemas de clientes foram comprometidos”, escreveu a unidade. “Nós notificamos diretamente os clientes afetados.”
No entanto, em um relatório Também divulgado esta semana, os pesquisadores do SOCRadar escreveram que o servidor mal configurado expôs dados confidenciais, incluindo documentos de prova de execução e declaração de trabalho, informações do usuário, ofertas e pedidos de produtos, detalhes do projeto e informações de identificação pessoal (PII).
Os documentos também podem ter revelado propriedade intelectual, afirmam.
A SOCRadar disse que seu Cloud Security Module monitora “buckets públicos” para detectar dados de clientes expostos e que seis grandes buckets públicos continham informações de mais de 150.000 empresas em 123 países. A empresa está se referindo coletivamente aos vazamentos como “BlueBleed”.
O relatório detalha os vazamentos encontrados em um dos maiores buckets públicos – conhecido como BlueBleed Parte 1 – que inclui uma instância do Azure Blog Storage mal configurada que supostamente continha informações de mais de 65.000 entidades em 111 países.
Ao todo, eles descobriram 2,4 TB de dados disponíveis publicamente que datavam de 2017 a agosto deste ano com o BlueBleed Part 1, incluindo mais de 335.000 e-mails, 133.000 projetos e 548.000 usuários expostos.
O relatório diz que as partes “que podem ter acessado o bucket podem usar essas informações de diferentes formas para extorsão, chantagem, criação de táticas de engenharia social com a ajuda de informações expostas ou simplesmente vender as informações para o maior lance na dark web e no Telegram. canais.”
“Certamente esta não é a primeira vez que um servidor mal configurado expõe informações confidenciais e não será a última”, disse Can Yoleri, pesquisadores de vulnerabilidades e ameaças do SOCRadar e principal investigador do BlueBleed, em comunicado. “No entanto, com dados vitais vazados pertencentes a dezenas de milhares de entidades, o BlueBleed é um dos maiores vazamentos B2B dos últimos anos”.
A Microsoft contestou a descrição do SOCRadar sobre a extensão do vazamento, que disse envolver dados de transações comerciais como nomes, endereço de e-mail, conteúdo de e-mail, nomes de empresas e números de telefone e também pode incluir arquivos anexados vinculados a negócios “entre um cliente e a Microsoft ou um parceiro autorizado da Microsoft.”
“Depois de revisar [the SOCRadar] post do blog, primeiro queremos observar que o SOCRadar exagerou muito no escopo deste problema”, escreveu o MSRC. “Nossa investigação e análise aprofundada do conjunto de dados mostra informações duplicadas, com várias referências aos mesmos e-mails, projetos e usuários. Levamos esse problema muito a sério e estamos desapontados que o SOCRadar tenha exagerado nos números envolvidos neste problema, mesmo depois de destacar seu erro.”
A Microsoft também criticou o SOCRadar por lançar publicamente uma ferramenta de pesquisa que, segundo ela, não garante a privacidade ou a segurança do cliente e pode expor as organizações a riscos. A SOCRadar disse que fornece um serviço gratuito que as empresas podem usar para pesquisar os nomes de suas empresas para determinar se elas são afetadas por algum dos vazamentos do BlueBleed.
Os pesquisadores do SOCRadar disseram que servidores mal configurados estão entre as principais causas de vazamentos de dados e, apontando para o Relatório de novos ataques e ameaças do SANS 2022acrescentou que a exfiltração de dados do armazenamento em nuvem é uma via de ataque comum.
“Atores de ameaças constantemente escaneiam buckets de armazenamento público em busca de dados confidenciais”, escreveram os pesquisadores. “Eles têm os recursos e meios para automatizar a verificação com ferramentas avançadas. As empresas devem monitorar proativamente esses riscos cibernéticos com ferramentas de segurança automatizadas.”
Em um e-mail para Strong The OneErich Kron, defensor de conscientização de segurança da empresa de segurança cibernética KnowBe4, disse que alguns dos dados expostos podem parecer triviais, mas que, se as informações do SOCRadar estiverem corretas, “podem incluir algumas informações confidenciais sobre a infraestrutura e configuração de rede de clientes em potencial. Essas informações pode ser valioso para invasores em potencial que podem estar procurando por vulnerabilidades em uma dessas redes de organizações.”
Kron também disse que incidentes como o BlueBleed ilustram que, com o armazenamento em nuvem, essa configuração incorreta pode expor informações de muito mais organizações e indivíduos do que um problema semelhante com sistemas locais.
“Isso é simplesmente algo que as organizações que hospedam aplicativos e dados em qualquer uma das várias plataformas de nuvem precisam entender”, disse ele. “Políticas relacionadas a mudanças de configuração de verificação dupla, ou tê-las confirmadas por outra pessoa, não é uma má ideia quando o resultado pode levar à exposição de dados confidenciais”. ®
.
