Microsoft bu hafta, bir uç noktayı herhangi bir kimlik doğrulaması olmadan internet üzerinden herkesin erişimine açık bırakan bir güvenlik gecikmesinin ardından binlerce müşteriyle ilgili bilgileri yanlışlıkla ifşa ettiğini doğruladı.
“Bu yanlış yapılandırma, Microsoft hizmetlerinin planlanması veya olası uygulanması ve sağlanması gibi Microsoft ile potansiyel müşteriler arasındaki etkileşimlere karşılık gelen bazı ticari işlem verilerine kimliği doğrulanmamış erişim potansiyeliyle sonuçlandı.” Microsoft söz konusu bir uyarıda.
Microsoft ayrıca B2B sızıntısının “Microsoft ekosisteminde kullanılmayan ve bir güvenlik açığının sonucu olmayan bir uç noktada kasıtsız bir yanlış yapılandırmadan kaynaklandığını” vurguladı.
Azure Blob Storage’ın yanlış yapılandırılması, 24 Eylül 2022’de siber güvenlik şirketi SOCRadar tarafından sızıntı olarak adlandırıldı. BlueBleed. Microsoft, etkilenen müşterileri doğrudan bilgilendirme sürecinde olduğunu söyledi.
Windows üreticisi veri sızıntısının ölçeğini açıklamadı, ancak SOCRadar’a göre 111 ülkede 65.000’den fazla varlığı etkiliyor. Maruz kalma, diğerlerinin yanı sıra faturalar, ürün siparişleri, imzalı müşteri belgeleri, iş ortağı ekosistemi ayrıntılarından oluşan 2,4 terabaytlık veridir.
SOCRadar, “Açık veriler, 2017’den Ağustos 2022’ye kadar olan dosyaları içeriyor” söz konusu.
Ancak Microsoft, adları, e-posta adreslerini, e-posta içeriğini, şirket adını ve telefon numaralarını ve “bir müşteri ile Microsoft veya yetkili bir Microsoft iş ortağı arasındaki” işle ilgili ekli dosyaları içeren verileri belirterek sorunun kapsamına itiraz etti.
Ayrıca yaptığı açıklamada, veri kümesinin “aynı e-postalara, projelere ve kullanıcılara birden fazla referansla birlikte yinelenen bilgiler” içermesi nedeniyle tehdit istihbarat şirketinin sorunun kapsamını “büyük ölçüde abarttığını” iddia etti.
Bunun üzerine Redmond, SOCRadar’ın bir genel arama aracı müşterileri gereksiz güvenlik risklerine maruz bıraktığını söyledi.
SOCRadar, bir takip yazısı Perşembe günü, BlueBleed arama motorunu, kuruluşların verilerinin bir bulut veri sızıntısına maruz kalıp kalmadığını aramanın bir yolu olarak tanımlayan veri ihlali bildirim hizmetine benzetti.
Siber güvenlik sağlayıcısı ayrıca, Microsoft’un talebi üzerine müşterilerine sunduğu Threat Hunting modülündeki tüm BlueBleed sorgularını 19 Ekim 2022 tarihinden itibaren geçici olarak askıya aldığını söyledi.
Güvenlik araştırmacısı Kevin Beaumont, “Microsoft’un müşterilere hangi verilerin alındığını söyleyememesi (okumayı reddetmesi) ve görünüşe göre düzenleyicileri bilgilendirmemesi – yasal bir gereklilik – büyük bir başarısız yanıtın ayırt edici özelliklerine sahip.” tweetlendi. “Umarım değildir.”
Beaumont ayrıca Microsoft paketinin “aylardır halka açık olarak dizine eklendiğini” söyledi. Grayhat Savaşı ve “arama motorlarında bile var.”
Bilgilerin ifşa edilmeden önce tehdit aktörleri tarafından uygunsuz bir şekilde erişildiğine dair bir kanıt yoktur, ancak bu tür sızıntılar, gasp, sosyal mühendislik saldırıları veya hızlı kâr gibi kötü niyetli amaçlar için kullanılabilir.
KnowBe4 güvenlik bilinci savunucusu Erich Kron, “Erişilmiş olabilecek bazı veriler önemsiz gibi görünse de, eğer SOCRadar açığa çıkan şeyde doğruysa, potansiyel müşterilerin altyapısı ve ağ yapılandırması hakkında bazı hassas bilgileri içerebilir.” Bir e-postada Hacker Haberleri.
“Bu bilgi, bu kuruluşların ağlarından birinde güvenlik açıkları arayan potansiyel saldırganlar için değerli olabilir.”
