Microsoft bu hafta, bir uç noktayı herhangi bir kimlik doğrulaması olmadan internet üzerinden herkesin erişimine açık bırakan bir güvenlik gecikmesinin ardından binlerce müşteriyle ilgili bilgileri yanlışlıkla ifşa ettiğini doğruladı.
Microsoft, bir uyarıda, “Bu yanlış yapılandırma, Microsoft ile potansiyel müşteriler arasındaki etkileşimlere karşılık gelen, Microsoft hizmetlerinin planlanması veya potansiyel uygulanması ve sağlanması gibi bazı ticari işlem verilerine kimliği doğrulanmamış erişim potansiyeliyle sonuçlandı.” Dedi.
Azure Blob Storage’ın yanlış yapılandırılması, 24 Eylül 2022’de siber güvenlik şirketi SOCRadar tarafından sızıntı olarak adlandırıldı. BlueBleed. Microsoft, etkilenen müşterileri doğrudan bilgilendirme sürecinde olduğunu söyledi.
Windows üreticileri veri sızıntısının ölçeğini açıklamadı, ancak SOCRadar’a göre 111 ülkede 65.000’den fazla varlığı etkiliyor. Maruz kalma, diğerlerinin yanı sıra faturalar, ürün siparişleri, imzalı müşteri belgeleri, iş ortağı ekosistemi ayrıntılarından oluşan 2,4 terabaytlık veridir.
SOCRadar, “Açık veriler, 2017’den Ağustos 2022’ye kadar olan dosyaları içeriyor.” Dedi.
Ancak Microsoft, adları, e-posta adreslerini, e-posta içeriğini, şirket adını ve telefon numaralarını ve “bir müşteri ile Microsoft veya yetkili bir Microsoft iş ortağı arasındaki” işle ilgili ekli dosyaları içeren verileri belirterek sorunun kapsamına itiraz etti.
Ayrıca yaptığı açıklamada, veri kümesinin “aynı e-postalara, projelere ve kullanıcılara birden fazla referansla birlikte yinelenen bilgiler” içermesi nedeniyle tehdit istihbarat şirketinin sorunun kapsamını “büyük ölçüde abarttığını” iddia etti.
Bunun da ötesinde Redmond, SOCRadar’ın müşterileri gereksiz güvenlik risklerine maruz bıraktığını söylediği bir genel arama aracı yayınlama kararından duyduğu hayal kırıklığını dile getirdi.
SOCRadar, Perşembe günkü bir takip gönderisinde, BlueBleed arama motorunu, kuruluşların verilerinin bir bulut veri sızıntısında açığa çıkıp çıkmadığını aramasını sağlayan “Have I Been Pwned” veri ihlali bildirim hizmetine benzetti.
Siber güvenlik satıcısı ayrıca, Microsoft’un talebini takiben 19 Ekim 2022’den itibaren tüm BlueBleed sorgularını geçici olarak askıya aldığını söyledi.
Güvenlik araştırmacısı Kevin Beaumont, “Microsoft’un müşterilere hangi verilerin alındığını söyleyememesi (okumayı reddetmesi) ve görünüşe göre düzenleyicileri bilgilendirmemesi – yasal bir gereklilik – büyük bir başarısız yanıtın ayırt edici özelliklerine sahip.” tweetlendi. “Umarım değildir.”
Beaumont ayrıca Microsoft paketinin Grayhat Warfare gibi hizmetler tarafından “aylardır halka açık olarak endekslendiğini” ve “arama motorlarında bile olduğunu” söyledi.
Bilgilerin ifşa edilmeden önce tehdit aktörleri tarafından uygunsuz bir şekilde erişildiğine dair bir kanıt yoktur, ancak bu tür sızıntılar, gasp, sosyal mühendislik saldırıları veya hızlı kâr gibi kötü niyetli amaçlar için kullanılabilir.
KnowBe4 güvenlik bilinci savunucusu Erich Kron, “Erişilmiş olabilecek bazı veriler önemsiz gibi görünse de, eğer SOCRadar açığa çıkan şeyde doğruysa, potansiyel müşterilerin altyapısı ve ağ yapılandırması hakkında bazı hassas bilgileri içerebilir.” Bir e-postada Hacker Haberleri.
“Bu bilgi, bu kuruluşların ağlarından birinde güvenlik açıkları arayan potansiyel saldırganlar için değerli olabilir.”