Microsoft подтвердила инцидент с утечкой данных клиентов из-за неправильно сконфигурированных на своей стороне серверов облачной системы Azure. Проблема затронула 65 тыс. организаций из 111 стран мира. В открытом доступе оказались данные 548 тыс. пользователей, включая их конфиденциальную информацию.
В конце сентября ИБ-исследователи из компании SOCRadar, занимающейся анализом сетевых угроз, обнаружили с помощью специальных сетевых инструментов для поиска утёкших данных неправильно сконфигурированный пул серверов серверов платформы Microsoft Azure. Это был работающий сегмент хранилища BLOB-объектов Azure на стороне Microsoft.
Специалисты SOCRadar пояснили, что на открытых серверах было обнаружено 2,4 ТБ данных, содержащих конфиденциальную информацию полумиллиона пользователей, а также более чем 335 тыс. электронных писем и 133 тыс. различных документов и архивов компаний, датированных с 2017 года по август 2022 года, включая интеллектуальную собственность.
В SOCRadar уведомили об инциденте Microsoft. Компания оперативно закрыла доступ к серверам и начала внутреннее расследование ситуации.
«Предварительное изучение инцидента не выявило никаких признаков того, что учётные записи или системы клиентов были скомпрометированы. Мы напрямую уведомили всех пострадавших клиентов», — рассказали в Microsoft. По данным разработчиков, в открытый доступ могла попасть информация о пользователям, включает ФИО, адреса электронной почты, содержимое электронной почты, название компаний и номера телефонов, а также файлы, связанные с бизнесом клиентов Microsoft или её авторизованных партнёров.
Microsoft добавила, что ошибка в сетевой конфигурации была вызвана «непреднамеренной неправильной настройкой конечного шлюза, который не используется в экосистеме Microsoft». В компании опровергли, что это была уязвимость в системы безопасности.
Microsoft поблагодарила SOCRadar за обнаружение открытого хранилища и пояснила, что эксперты ИБ-компании «сильно преувеличили масштабы этого инцидента». В Microsoft заявили, что решение SOCRadar скопировать себе эти данные и сделать их доступными для корпоративного поиска с помощью специального платного поискового портала для уязвимостей на своем сайте «не отвечает интересам обеспечения конфиденциальности или безопасности клиентов и потенциально подвергает их ненужному риску».
В SOCRadar не согласны с заявлениями Microsoft по поводу этого инцидента. Эксперты компании считают, что данную информацию, находящуюся, вероятно, некоторое время в открытом доступе, могут использовать злоумышленники для вымогательства, шантажа, в социальной инженерии и продажи данных в даркнете и Telegram-каналах, а система SOCRadar под названием BlueBleed помогает пострадавшим пользователям и компаниям понять, какие именно их файлы попали в утечку. Microsoft же по этому инциденту не может предоставить информацию каждому пострадавшему клиенту, какие его данные попали в утечку. Также компания не собирается уведомлять регуляторов об этой утечке, так как уже предупредили об инциденте своих клиентов.
Вдобавок в SOCRadar заверили, что не копировали данные с серверов Microsoft, а только просканировали их, проанализировали и собрали метаданные, включая название компании, доменное имя и адрес электронной почты. ИБ-компания рассказала, что теперь при обращении к ней пользователей по этой утечке будет перенаправлять все запросы в Microsoft.
Источник новости: habr.com
