Η εταιρεία SOCRadar που δραστηριοποιείται στον τομέα των διαδικτυακών απειλών αποκάλυψε σε πρόσφατη ανάρτησή της ότι μια παραβίαση δεδομένων πελατών της Microsoft επηρέασε εκατοντάδες χιλιάδες χρήστες σε παγκόσμια κλίμακα. H SOCRadar διαθέτει την πλατφόρμα “Extended Threat Intelligence” μέσω της οποίας παρακολουθεί συνεχώς τις ιστοσελίδες του διαδικτύου, το darknet αλλά και το deep web, για ευπάθειες και διαρροές δεδομένων.
Περιγραφή του περιστατικού παραβίασης
Η διαρροή δεδομένων που πραγματοποιήθηκε στην Microsoft ονομάστηκε από τους ερευνητές BlueBleed Part 1 και εξέθεσε τουλάχιστον 2,4 terabytes δεδομένων που ανήκουν σε 65.000 υποκείμενα δεδομένων σε 111 χώρες. Κατά την ανακοίνωση της SOCRadar η διαρροή δεδομένων προήλθε από ένα λανθασμένα ρυθμισμένο χώρο αποθήκευσης (“Azure Blob Storage”) που διατηρούσε η Microsoft σε cloud υποδομή. Αυτή η εσφαλμένη διαμόρφωση του χώρου αποθήκευσης δεδομένων είχε ως αποτέλεσμα την πιθανότητα πρόσβασης σε ορισμένα δεδομένα επιχειρηματικών συναλλαγών που αντιστοιχούν σε αλληλεπιδράσεις μεταξύ της Microsoft και υποψηφίων πελατών, όπως ο σχεδιασμός ή η πιθανή υλοποίηση και παροχή υπηρεσιών από τη Microsoft.
Η SOCRadar χαρακτήρισε το εν λόγω περιστατικό ως την “πιο σημαντική διαρροή B2B” στην πρόσφατη ιστορία της κυβερνοασφάλειας, προειδοποιώντας μάλιστα ότι η παραβίαση αυτή θα μπορούσε να οδηγήσει σε καταπάτηση των διατάξεων της πνευματικής ιδιοκτησίας και σε εκβιασμούς προσώπων και εταιρειών.
Σε μία προσπάθεια προσέγγισης του μεγέθους του υπό συζήτηση περιστατικού, η SOCRadar παρέθεσε αριθμητικά δεδομένα. Συγκεκριμένα ανέφερε ότι η παραβίαση δεδομένων BlueBleed Part I αφορά σε περισσότερα από 335.000 μηνύματα ηλεκτρονικού ταχυδρομείου, 133.000 έργα (projects) και 548.000 δεδομένα χρηστών. Ειδικότερα, τα δεδομένα που διέρρευσαν περιλάμβαναν μεταξύ άλλων ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, περιεχόμενα ηλεκτρονικού ταχυδρομείου (συμπεριλαμβανομένων αρχείων .eml), αριθμούς τηλεφώνου, υπογεγραμμένα έγγραφα πελατών, πληροφορίες χρηστών, παραγγελίες προϊόντων, προσφορές, λεπτομέρειες έργων, τιμολόγια καθώς επίσης και ειδικά έγγραφα (Proof-of-Execution και Statement of Work). Επιπροσθέτως, περαιτέρω δεδομένα που διέρρευσαν αντιστοιχούν σε τιμοκατάλογους προϊόντων πελατών, αποθέματα πελατών, στρατηγικές πωλήσεων και έγγραφα περιουσιακών στοιχείων πελατών.
Ενέργειες μετά το περιστατικό
Η SOCRadar στο πλαίσιο καταπολέμησης της παραβίασης δεδομένων εις βάρος τον πελατών της έστειλε ειδοποιήσεις στους πελάτες που επηρεάστηκαν και ενημέρωσε τη Microsoft, η οποία διόρθωσε αμέσως το σφάλμα στις προβλεπόμενες παραμέτρους που ήταν σε ισχύ κατά την παραβίαση αυτή. Επιπλέον, η SOCRadar δημιούργησε ένα εργαλείο αναζήτησης παρόμοιο με το “Have I been Pwned” ώστε να δύνανται οι οργανισμοί να προσδιορίσουν αν τα δεδομένα των πελατών τους είναι εκτεθειμένα. Η SOCRadar διέγραψε επίσης τα δεδομένα των πελατών που ενημέρωσε, κατόπιν αιτήματος της Microsoft, αλλά συνέλεξε μεταδεδομένα, συμπεριλαμβανομένων του ονόματος της εταιρείας, του email και του domain name, προς εξυπηρέτηση των πελατών ώστε να έχουν την δυνατότητα να χρησιμοποιήσουν το εργαλείο αναζήτησης εφόσον το επιθυμούν.
Ωστόσο, η εταιρεία δεν κατάφερε να προβλέψει με ακρίβεια για πόσο καιρό ήταν εκτεθειμένα τα δεδομένα των πελατών ή αν κάποιος κακόβουλος φορέας είχε πρόσβαση στις πληροφορίες.
H αντίδραση της Microsoft
Παρ’ όλα αυτά, η Microsoft δήλωσε ότι δεν υπάρχει καμία ένδειξη ότι οι λογαριασμοί ή τα συστήματα των πελατών τέθηκαν σε κίνδυνο λόγω της παραβίασης των δεδομένων.
Επιπλέον, παραδέχτηκε ότι έλαβε πληροφορίες αναφορικά με την ύπαρξη βλάβης ρυθμίσεων στην βάση δεδομένων της, όπου αντιμετωπίστηκε άμεσα από την εταιρεία, η οποία πραγματοποίησε και την διαδικασία ενεργοποίησης του ελέγχου ταυτότητας των χρηστών και ενημέρωσης των πελατών όπου κρίνεται ότι επηρεάστηκαν. Συγκεκριμένα, η Microsoft ειδοποίησε τους επηρεαζόμενους πελάτες σχετικά με αυτό το ζήτημα μέσω του κέντρου μηνυμάτων της στις 4 Οκτωβρίου 2022. Επιπροσθέτως ανέφερε ότι το περιστατικό προήλθε από ακούσια και εκ παραδρομής λανθασμένη διαμόρφωση σε ένα τελικό σημείο που δεν χρησιμοποιείται από το υφιστάμενο οικοσύστημα της Microsoft και ότι σε καμία περίπτωση δεν ήταν αποτέλεσμα ευάλωτης ασφάλειας. Τέλος, εξέδωσε συχνές ερωτήσεις με απαντήσεις για να βοηθήσει τους επηρεαζόμενους πελάτες της να κατανοήσουν τη φύση του περιστατικού και να ενημερωθούν περαιτέρω.