
Getty Resimleri
Microsoft, bir güvenlik şirketinin imzalı faturalar ve sözleşmeler, iletişim bilgileri ve beş yıl boyunca 65.000 mevcut veya olası müşterinin e-postalarını içeren 2,4 terabaytlık veri olduğunu söylediği yakın tarihli bir güvenlik açığını ifşa etme biçimi nedeniyle eleştiriyle karşı karşıya.
Güvenlik firması SOCRadar tarafından Çarşamba günü yayınlanan bir açıklamaya göre veriler, 2017 ile Ağustos 2022 yıllarını kapsıyordu. Hazine, yürütme kanıtı ve çalışma belgelerinin beyanını, kullanıcı bilgilerini, ürün siparişlerini/tekliflerini, proje ayrıntılarını, kişisel olarak tanımlanabilir bilgileri içeriyordu. ve fikri mülkiyeti ortaya çıkarabilecek belgeler. SOCRadar, yanlış yapılandırılmış bir Azure Blob Depolamanın sonucu olan bilgileri tek bir veri paketinde bulduğunu söyledi.
Microsoft yapamaz mı, yoksa Microsoft yapmaz mı?
Microsoft Çarşamba günü, güvenlik şirketinin “bu sorunun kapsamını büyük ölçüde abarttığını” söyleyen kendi açıklamasını yayınladı çünkü açığa çıkan verilerden bazıları “aynı e-postalara, projelere ve kullanıcılara birden fazla referansla birlikte yinelenen bilgiler” içeriyordu. Microsoft ayrıca “sorun” kelimesini “sızıntı” için bir örtmece olarak kullanarak şunları söyledi: “Sorun, Microsoft ekosisteminde kullanılmayan ve bir güvenlik açığının sonucu olmayan bir uç noktada kasıtsız bir yanlış yapılandırmadan kaynaklandı. ”
Çıplak kemiklerden yoksun, 440 kelimelik gönderi, sızdırılan verilerin daha ayrıntılı bir açıklaması veya Microsoft’un gerçekten etkilendiğine inandığı mevcut veya potansiyel müşterilerin sayısı gibi çok önemli ayrıntılardı. Bunun yerine, gönderi SOCRadar’ı Microsoft’un aynı fikirde olmadığı sayıları kullandığı ve insanların verilerinin açıkta kalan kovada olup olmadığını belirlemek için kullanabilecekleri bir arama motorunu dahil ettiği için azarladı. (Güvenlik şirketi o zamandan beri sayfaya erişimi kısıtladı.)
Etkilenen bir müşteri, kuruluşlarına ait hangi belirli verilerin açığa çıktığını sormak için Microsoft ile iletişime geçtiğinde, cevap vermek şuydu: “Bu sorundan etkilenen belirli verileri sağlayamıyoruz.” Etkilenen müşteri itiraz ettiğinde, Microsoft destek mühendisi bir kez daha reddetti.
Eleştirmenler ayrıca, etkilenenleri doğrudan bilgilendirme konusunda Microsoft’u suçladı. Şirket, Microsoft’un yöneticilerle iletişim kurmak için kullandığı dahili bir mesajlaşma sistemi olan Mesaj Merkezi aracılığıyla etkilenen kuruluşlarla iletişime geçti. Tüm yöneticilerin bu araca erişme olanağı yoktur, bu da bazı bildirimlerin görünmeme ihtimalini artırır. Twitter’da görüntülenen doğrudan mesajlar, Microsoft’un şirketin yasa gereği gecikmeyi yetkililere ifşa etmesinin gerekli olmadığını söylediğini de gösterdi.
Bağımsız bir araştırmacı olan Kevin Beaumont, “MS’nin müşterilere hangi verilerin alındığını söyleyememesi (okumayı reddetmesi) ve görünüşe göre düzenleyicileri bilgilendirmemesi – yasal bir gereklilik – büyük bir başarısız yanıtın ayırt edici özelliklerine sahip”, dedi. Twitter’da yazdı. “Umarım değildir.”
Açıkta kalan verilerin ele geçirildiğini belgeleyen ekran görüntüleri yayınlamaya devam etti. aylardır halka açık Genel kovalarda açığa çıkan verileri toplayan ve depolayan bir veritabanı olan Grayhat Warfare’de.
Beaumont’un yayınladığı Grayhat Warfare görüntülerinin gösterdiği gibi, önbelleğe alınan veriler dijital olarak imzalanmış sözleşmeleri ve satın alma siparişlerini içeriyordu. Açıklanan diğer verilerin “ABD .gov’dan gelen e-postalar, O365 projeleri, para vb. hakkında konuşmaları” içerdiğini söyledi. Ayrıca bilgi içeriyordu CNI ile ilgilikritik ulusal altyapının kısaltması.
Microsoft’un sızıntıyı ifşa etme yöntemine yönelik eleştirilerin yanı sıra olay, Microsoft’un veri saklama politikaları hakkında da soruları gündeme getiriyor. Çoğu zaman, eski veriler, onu elinde tutan şirketten çok potansiyel suçlular için daha faydalıdır. Bu gibi durumlarda, en iyi yol genellikle verileri periyodik olarak yok etmektir.
Microsoft, bu hikaye için yorum isteyen bir e-postaya hemen yanıt vermedi.
Son beş yıldaki muhtemel veya gerçek Microsoft kurumsal müşterileri, yukarıda bağlantısı verilen her iki blog gönderisini de incelemeli ve ayrıca herhangi bir ifşa bildirimi için Mesaj Merkezi’ni kontrol etmelidir. Bir kuruluşun etkilenmesi durumunda, personel dolandırıcılık, kimlik avı e-postaları veya açığa çıkan bilgilerden yararlanmaya yönelik diğer girişimlere karşı tetikte olmalıdır.