Dados de clientes dos serviços da Microsoft foram expostos devido à má configuração de um dos servidores da empresa. O relato sobre o ocorrido foi descrito pelo site bleepingcomputer, onde é dito que a empresa de inteligência contra ameaças SOCRadar notificou a vulnerabilidade para a desenvolvedora do Windows.
A má configuração do servidor da Microsoft deixou dados pessoais de usuários de serviços da empresa expostos na internet. A SOCRadar diz:
Essa configuração incorreta resultou no potencial acesso não autenticado a alguns dados de transações comerciais correspondentes a interações entre a Microsoft e clientes em potencial, como o planejamento ou a implementação e o provisionamento de serviços da Microsoft.
Nossa investigação não encontrou nenhuma indicação de que contas ou sistemas de clientes foram comprometidos. Notificamos diretamente os clientes afetados.
Servidor da Microsoft tem contato e e-mails de clientes expostos na internet
Segundo a Microsoft, seu servidor acabou expondo informações de clientes como, por exemplo, nomes, endereços de e-mail, conteúdo de e-mail, nome da empresa e números de telefone. A desenvolvedora do Windows diz que o vazamento de dados ocorreu devido a "configuração incorreta não intencional em um ‘endpoint’ que não está em uso no ecossistema da Microsoft" ao invés de uma vulnerabilidade de segurança.
De acordo com a SOCRadar, os dados de clientes da Microsoft que foram expostos estavam armazenados no "Azure Blob Storage", que estava mal configurado. Segundo os pesquisadores de segurança da empresa, houve o vazamento de mais de 65 mil entidades de 111 países, envolvendo arquivos de 2017 até agosto de 2022. A companhia de inteligência contra ameaças diz:
Em 24 de setembro de 2022, o Cloud Security Module integrado do SOCRadar detectou um armazenamento de BLOBs do Azure mal configurado mantido pela Microsoft contendo dados confidenciais de um provedor de nuvem de alto perfil.
A SOCRadar ainda complementou o que foi dito dizendo que as informações vazadas "incluem documentos de PoE (Proof-of-Execution ou Prova de Execução) e SoW (Statement of Work ou Declaração de Trabalho), informações do usuário, pedidos/ofertas de produtos, detalhes do projeto, PII (Personally Identifiable Information ou Informações de Identificação Pessoal) dados e documentos que possam revelar propriedade intelectual."
Após as declarações acima, a Microsoft disse que a SOCRadar "exagerou muito o escopo desta questão" e "nos números".
😕 Poxa, o que podemos melhorar?
😃 Boa, seu feedback foi enviado!
✋ Você já nos enviou um feedback para este texto.