Trong tuần này, Microsoft đã xác nhận rằng họ đã vô tình làm lộ thông tin liên quan đến hàng nghìn khách hàng sau lỗi bảo mật khiến một điểm cuối có thể truy cập công khai qua internet không có bất kỳ xác thực nào.
“Cấu hình sai này dẫn đến khả năng truy cập không được xác thực vào một số dữ liệu giao dịch kinh doanh tương ứng với các tương tác giữa Microsoft và khách hàng tiềm năng, chẳng hạn như việc lập kế hoạch hoặc triển khai tiềm năng và cung cấp các dịch vụ của Microsoft”, Microsoft cho biết trong một cảnh báo.
Microsoft cũng nhấn mạnh rằng vụ rò rỉ B2B là “do định cấu hình sai không cố ý trên một điểm cuối không được sử dụng trong hệ sinh thái Microsoft và không phải là kết quả của lỗ hổng bảo mật.”
Cấu hình sai của Azure Blob Storage đã được phát hiện vào ngày 24 tháng 9 năm 2022, bởi công ty an ninh mạng SOCRadar, được gọi là rò rỉ BlueBleed. Microsoft cho biết họ đang trong quá trình thông báo trực tiếp cho các khách hàng bị ảnh hưởng.
Nhà sản xuất Windows không tiết lộ quy mô của vụ rò rỉ dữ liệu, nhưng theo SOCRadar, nó ảnh hưởng đến hơn 65.000 thực thể ở 111 quốc gia. Mức độ hiển thị lên tới 2,4 terabyte dữ liệu bao gồm hóa đơn, đơn đặt hàng sản phẩm, tài liệu khách hàng đã ký, chi tiết hệ sinh thái đối tác, v.v.
“Dữ liệu bị lộ bao gồm các tệp có từ năm 2017 đến tháng 8 năm 2022”, SOCRadar cho biết.
Tuy nhiên, Microsoft đã tranh cãi về mức độ của vấn đề, cho biết dữ liệu bao gồm tên, địa chỉ email, nội dung email, tên công ty và số điện thoại cũng như các tệp đính kèm liên quan đến hoạt động kinh doanh “giữa khách hàng và Microsoft hoặc đối tác được ủy quyền của Microsoft.”
Nó cũng tuyên bố trong tiết lộ của mình rằng công ty intel về mối đe dọa đã “phóng đại quá mức” phạm vi của vấn đề vì tập dữ liệu chứa “thông tin trùng lặp, có nhiều tham chiếu đến các email, dự án và người dùng giống nhau.”
Trên hết, Redmond bày tỏ sự thất vọng về quyết định của SOCRadar trong việc phát hành một công cụ tìm kiếm công khai mà họ cho rằng sẽ khiến khách hàng gặp phải những rủi ro bảo mật không cần thiết.
SOCRadar, trong một bài đăng tiếp theo vào thứ Năm, đã ví công cụ tìm kiếm BlueBleed với dịch vụ thông báo vi phạm dữ liệu “Have I Been Pwned”, mô tả nó như một cách để các tổ chức tìm kiếm nếu dữ liệu của họ bị lộ trong vụ rò rỉ dữ liệu đám mây.
Nhà cung cấp an ninh mạng cũng cho biết họ đã tạm thời đình chỉ tất cả các truy vấn BlueBleed trong mô-đun Săn mối đe dọa mà họ cung cấp cho khách hàng kể từ ngày 19 tháng 10 năm 2022, theo yêu cầu của Microsoft.
Nhà nghiên cứu bảo mật Kevin Beaumont đã tweet: “Việc Microsoft không thể (đọc: từ chối) cho khách hàng biết dữ liệu nào đã được lấy và dường như không thông báo cho các cơ quan quản lý – một yêu cầu pháp lý – có dấu hiệu của một phản ứng sai lầm lớn”. “Tôi hy vọng nó không phải là.”
Beaumont nói thêm rằng nhóm Microsoft “đã được lập chỉ mục công khai trong nhiều tháng” bởi các dịch vụ như Grayhat Warfare và “nó thậm chí còn có trong các công cụ tìm kiếm.”
Không có bằng chứng cho thấy thông tin đã bị các tác nhân đe dọa truy cập không đúng cách trước khi tiết lộ, nhưng những rò rỉ đó có thể bị lợi dụng cho các mục đích xấu như tống tiền, tấn công kỹ thuật xã hội hoặc kiếm lợi nhuận nhanh chóng.
“Mặc dù một số dữ liệu có thể đã được truy cập có vẻ tầm thường, nhưng nếu SOCRadar chính xác trong những gì được tiết lộ, nó có thể bao gồm một số thông tin nhạy cảm về cơ sở hạ tầng và cấu hình mạng của khách hàng tiềm năng”, Erich Kron, người ủng hộ nhận thức về bảo mật tại KnowBe4, nói Tin tức về Tin tặc trong một email.
“Thông tin này có thể có giá trị đối với những kẻ tấn công tiềm năng có thể đang tìm kiếm các lỗ hổng trong một trong các mạng của các tổ chức này.”
