Debido a una configuración incorrecta de un servidor, por error humano, fueron expuestos datos de clientes de Microsoft.

Durante el mes de octubre, Microsoft reconoció que información sensible de algunos de sus clientes quedó expuesta por un servidor mal configurado, que era accesible a través de internet sin necesidad de autenticación.

La firma de inteligencia de amenazas de seguridad SOCRadar descubrió el fallo en la configuración del servidor y lo notificó a la compañía americana el 24 de septiembre de 2022.

“Esta configuración errónea resultó en el potencial de acceso no autenticado a algunos datos de transacciones comerciales correspondientes a las interacciones entre Microsoft y los posibles clientes, como la planificación o la posible implementación y el aprovisionamiento de los servicios de Microsoft”, se puede leer en un comunicado de SOCRadar.

También añadió que, según la investigación interna llevada a cabo, no se encontró ningún indicio de que las cuentas o los sistemas de los clientes estuvieran comprometidos y que se había notificado directamente a los clientes afectados.

Según el comunicado realizado por SOCRadar, quedaron expuestos los siguientes tipos de documentos:

• Correos de clientes
• Documentos SOW
• Product Offers
• POC Works
• Detalles del ecosistema de socios
• Facturas
• Detalles de proyectos
• Lista de precio de productos a clientes
• Documentos POE
• Product Orders
• Documentos firmados por clientes
• Documentos de activos de clientes

Esta filtración de datos fue denominada como BlueBleed por los investigadores que la descubrieron (SOCRadar), en referencia a la información sensible filtrada por data stores mal configurados en su conjunto.

Al analizar los archivos filtrados hasta ahora, SOCRadar afirma haber encontrado 2,4 TB sólo en el servidor de Microsoft de datos, que contienen información sensible de más de 65,000 empresas de 111 países, más de 335,000 correos electrónicos, 133,000 proyectos y 548,000 usuarios.

Figura 1 Filtración BluBleed.

La firma de inteligencia SOCRadar creó un sitio web donde se encuentra la recopilación de información obtenida en esta filtración, donde permiten a las empresas verificar si su información ha sido expuesta tras el incidente, y en el que aparecen como comprometidas empresas como Amazon o Twitter.

Figura 2 Portal BlueBleed.

El día 20 de octubre SOCRadar Labs hizo público este hallazgo, pero Microsoft calificó de exageradas las declaraciones de este equipo y hasta de alarmistas por la forma en la que su portal valida si se está afectado o no, pues sólo toma en cuenta el listado de los 65,000 clientes, y de esta manera afecta la privacidad de los clientes de Microsoft. A la fecha no hay evidencia de que información adicional haya sido expuesta.

De ser correcta la apreciación de Microsoft, nos hace cuestionarnos, ¿hasta dónde está una empresa dispuesta a llegar con tal de hacerse de fama, como en este caso, que con el simple hecho de crear el portal de “BlueBleed” revela qué empresas son clientes de Microsoft?

Con la información filtrada, usuarios malintencionados podrían usarla para extorsionar, chantajear, crear tácticas de ingeniería social o simplemente vender la información al mejor postor en la web oscura y canales de Telegram.

Recomendaciones:

• Contar con un plan de comunicación pública en caso de que se observe información de la organización derivado de esta filtración de datos y sea difundidos por medios de comunicación o tenga impacto en redes sociales.
• Crear campañas de concientización dirigida a colaboradores a fin de evitar sean víctimas de ingeniería social, derivado de la información filtrada.

Referencias:

https://msrc-blog.microsoft.com/2022/10/19/investigation-regarding-misconfigured-microsoft-storage-location-2/
https://www.bleepingcomputer.com/news/security/microsoft-data-breach-exposes-customers-contact-info-emails/
https://securityaffairs.co/wordpress/137397/data-breach/microsoft-data-leak-2.html
https://www.hackread.com/microsoft-business-bluebleed-data-breach/