.
Imagens Getty
A Microsoft está enfrentando críticas pela forma como divulgou um lapso de segurança recente que expôs o que uma empresa de segurança disse ser 2,4 terabytes de dados que incluíam faturas e contratos assinados, informações de contato e e-mails de 65.000 clientes atuais ou potenciais em cinco anos.
Os dados, de acordo com uma divulgação publicada na quarta-feira pela empresa de segurança SOCRadar, abrangeram os anos de 2017 a agosto de 2022. O tesouro inclui documentos de prova de execução e declaração de trabalho, informações do usuário, pedidos/ofertas de produtos, detalhes do projeto, informações de identificação pessoal e documentos que possam revelar propriedade intelectual. A SOCRadar disse que encontrou as informações em um único bucket de dados que foi o resultado de um armazenamento de BLOBs do Azure mal configurado.
A Microsoft não pode, ou a Microsoft não vai?
A Microsoft postou sua própria divulgação na quarta-feira que disse que a empresa de segurança “exagerou muito o escopo desse problema” porque alguns dos dados expostos incluíam “informações duplicadas, com várias referências aos mesmos e-mails, projetos e usuários”. Usando ainda a palavra “problema” como um eufemismo para “vazamento”, a Microsoft também disse: “O problema foi causado por uma configuração incorreta não intencional em um endpoint que não está em uso no ecossistema da Microsoft e não foi resultado de uma vulnerabilidade de segurança. ”
Ausente do básico, post de 440 palavras foram detalhes cruciais, como uma descrição mais detalhada dos dados que vazaram ou quantos clientes atuais ou potenciais a Microsoft realmente acredita que foram afetados. Em vez disso, o post repreendeu o SOCRadar por usar números com os quais a Microsoft discordava e por incluir um mecanismo de pesquisa que as pessoas poderiam usar para determinar se seus dados estavam no bucket exposto. (A empresa de segurança desde então restringiu o acesso à página.)
Quando um cliente afetado entrou em contato com a Microsoft para perguntar quais dados específicos pertencentes à sua organização foram expostos, o responder foi: “Não podemos fornecer os dados afetados específicos deste problema.” Quando o cliente afetado protestou, o engenheiro de suporte da Microsoft recusou novamente.
Os críticos também culparam a Microsoft pela maneira como notificou diretamente aqueles que foram afetados. A empresa entrou em contato com as entidades afetadas por meio do Message Center, um sistema de mensagens interno que a Microsoft usa para se comunicar com os administradores. Nem todos os administradores têm a capacidade de acessar essa ferramenta, tornando provável que algumas notificações não tenham sido vistas. Mensagens diretas exibidas no Twitter também mostraram a Microsoft dizendo que a empresa não era obrigada por lei a divulgar o lapso às autoridades.
“O MS não poder (leia-se: recusar) informar aos clientes quais dados foram coletados e, aparentemente, não notificar os reguladores – uma exigência legal – tem as características de uma grande resposta mal feita”, Kevin Beaumont, pesquisador independente, escreveu no Twitter. “Espero que não seja.”
Ele passou a postar capturas de tela documentando que os dados expostos foram publicamente disponível por meses no Grayhat Warfare, um banco de dados que varre e armazena dados expostos em buckets públicos.
Como as imagens da Grayhat Warfare postadas por Beaumont indicam, os dados armazenados em cache incluíam contratos assinados digitalmente e ordens de compra. Ele disse que outros dados expostos incluem “e-mails do .gov dos EUA, falando sobre projetos do O365, dinheiro etc”. Também incluiu informações referente a CNIabreviação de infraestrutura nacional crítica.
Além das críticas à forma como a Microsoft divulgou o vazamento, o incidente também levanta questões sobre as políticas de retenção de dados da Microsoft. Muitas vezes, dados antigos são mais benéficos para criminosos em potencial do que para a empresa que os detém. Em casos como esses, o melhor caminho é frequentemente destruir os dados periodicamente.
A Microsoft não respondeu imediatamente a um e-mail solicitando comentários para esta história.
Clientes empresariais futuros ou reais da Microsoft nos últimos cinco anos devem revisar ambas as postagens de blog vinculadas acima e também verificar o Centro de Mensagens para quaisquer notificações de exposição. Caso uma organização seja afetada, os funcionários devem estar atentos a golpes, e-mails de phishing ou outras tentativas de explorar as informações expostas.
.
