Microsoft trong tuần này đã xác nhận rằng họ đã vô tình tiết lộ thông tin liên quan đến hàng nghìn khách hàng sau khi mất hiệu lực bảo mật khiến một điểm cuối có thể truy cập công khai qua internet mà không cần bất kỳ xác thực nào.
"Việc cấu hình sai này dẫn đến khả năng truy cập không được xác thực vào một số dữ liệu giao dịch kinh doanh tương ứng với các tương tác giữa Microsoft và khách hàng tiềm năng, chẳng hạn như lập kế hoạch hoặc tiềm năng triển khai và cung cấp các dịch vụ của Microsoft", Microsoft cho biết trong một cảnh báo.
Cấu hình sai của Azure Blob Storage được phát hiện vào ngày 24 tháng 9 năm 2022 , bởi công ty an ninh mạng SOCRadar, được gọi là rò rỉ BlueBleed. Microsoft cho biết họ đang trong quá trình thông báo trực tiếp cho những khách hàng bị ảnh hưởng.
Các nhà sản xuất Windows không tiết lộ quy mô rò rỉ dữ liệu, nhưng theo SOCRadar, nó ảnh hưởng đến hơn 65.000 thực thể tại 111 quốc gia. Mức độ tiếp xúc lên tới 2,4 terabyte dữ liệu bao gồm hóa đơn, đơn đặt hàng sản phẩm, tài liệu khách hàng đã ký, chi tiết hệ sinh thái đối tác, trong số những dữ liệu khác.
"Dữ liệu bị lộ bao gồm các tệp có niên đại từ năm 2017 đến tháng 8 năm 2022 ," SOCRadar nói.
Tuy nhiên, Microsoft đã tranh cãi về mức độ của vấn đề, nêu rõ dữ liệu bao gồm tên, địa chỉ email, nội dung email, tên công ty và số điện thoại cũng như các tệp đính kèm liên quan đến doanh nghiệp "giữa khách hàng và Microsoft hoặc đối tác được ủy quyền của Microsoft".
Nó cũng tuyên bố trong tiết lộ của mình rằng mối đe dọa mà công ty intel đã "phóng đại quá mức" phạm vi của vấn đề vì tập dữ liệu chứa "thông tin trùng lặp, với nhiều tham chiếu đến cùng một email, dự án và người dùng."
Trên hết, Redmond bày tỏ sự thất vọng về quyết định phát hành một công cụ tìm kiếm công khai mà họ cho là khiến khách hàng gặp rủi ro bảo mật không cần thiết.
SOCRadar, trong một bài đăng tiếp theo vào thứ Năm, đã so sánh công cụ tìm kiếm BlueBleed với dịch vụ thông báo vi phạm dữ liệu "Tôi đã được Pwned", cho phép các tổ chức tìm kiếm xem dữ liệu của họ có bị lộ trong rò rỉ dữ liệu đám mây hay không.
Nhà cung cấp an ninh mạng cũng cho biết họ đã tạm thời đình chỉ mọi truy vấn BlueBleed kể từ ngày 19 tháng 10 năm 2022, theo yêu cầu của Microsoft.
"Việc Microsoft không thể (đọc: từ chối) cho khách hàng biết dữ liệu nào đã được lấy và dường như không thông báo cho các cơ quan quản lý - một yêu cầu pháp lý - có dấu hiệu của một phản ứng bất thành lớn," nhà nghiên cứu bảo mật Kevin Beaumont đã tweet. "Tôi hy vọng nó không phải."
Beaumont cho biết thêm rằng thùng Microsoft "đã được lập chỉ mục công khai trong nhiều tháng" bởi các dịch vụ như Grayhat Warfare và "nó thậm chí còn có trong các công cụ tìm kiếm."
Không có bằng chứng cho thấy thông tin đã được truy cập không đúng cách bởi các tác nhân đe dọa trước khi tiết lộ, nhưng những rò rỉ như vậy có thể bị khai thác cho các mục đích độc hại như tống tiền, tấn công kỹ thuật xã hội hoặc thu lợi nhanh chóng.
"Mặc dù một số dữ liệu có thể đã được truy cập có vẻ tầm thường, nhưng nếu SOCRadar chính xác trong những gì đã bị lộ, nó có thể bao gồm một số thông tin nhạy cảm về cơ sở hạ tầng và cấu hình mạng của khách hàng tiềm năng," Erich Kron, người ủng hộ nhận thức bảo mật tại KnowBe4, nói với The Hacker News trong một email.
"Thông tin này có thể có giá trị đối với những kẻ tấn công tiềm năng, những người có thể đang tìm kiếm các lỗ hổng trong mạng của một trong những tổ chức này."