Microsoft wzywa firmę zajmującą się bezpieczeństwem do wyolbrzymiania wpływu błędnej konfiguracji BlueBleed

Ponad rok temu dowiedzieliśmy się, że klienci firmy Microsoft, którzy używali domyślnych konfiguracji portali Power Apps, ujawnili miliony wewnętrznych rekordów. W podobnym duchu gigant technologiczny z Redmond wydał ostrzeżenie o podobnej błędnej konfiguracji, która ujawniła również dane klientów.

Centrum Microsoft Security Response Center (MSRC) opublikowało białą księgę wyjaśniającą, że zostało poinformowane o problemie, nazwanym przez badaczy bezpieczeństwa z SOCRadar 24 września „BlueBleed”. klienci i autoryzowani partnerzy są publicznie dostępni. Stawką były nazwiska, adresy e-mail, treść e-maili, nazwa firmy, numery telefonów i załączniki.

Chociaż Microsoft uznał raport SOCRadar , wyraził rozczarowanie odpowiedzią firmy zajmującej się bezpieczeństwem na ujawnienie. Mówi, że liczby w raporcie SOCRadar były przesadzone, a firma nazwała go „jednym z największych wycieków B2B w ostatnich latach”, który ujawnił dane z 65 000 organizacji w 111 krajach. Microsoft twierdzi, że wiele danych, o których mowa, to tylko duplikaty, a zakres tej błędnej konfiguracji został przesadzony przez SOCRadar. Ubolewał, że firma nie zaktualizowała swojego wpisu na blogu, nawet po złożeniu skargi przez giganta technologicznego Redmonda.

Ponadto Microsoft wezwał SOCRadar do reklamowania własnego narzędzia do wykrywania zagrożeń, mówiąc, że „nie służy ono prywatności ani interesom bezpieczeństwa klientów i potencjalnie naraża ich na niepotrzebne ryzyko”. Zamiast tego podkreślił swoje własne zalecenia dla firm ochroniarskich, które pracują nad podobnymi narzędziami:

• wdrożyć rozsądny system weryfikacji, aby upewnić się, że użytkownik jest tym, za kogo się podaje;
• przestrzegać zasad minimalizacji danych, ograniczając dostarczane wyniki tylko do informacji dotyczących tylko tego zweryfikowanego użytkownika;
• jeśli ta firma nie jest w stanie określić z uzasadnioną pewnością, którzy klienci wpłynęli na dane, nie ujawniaj temu użytkownikowi informacji (w tym metadanych/nazw plików), które mogą należeć do innego klienta.

Microsoft wyjaśnił, że pomimo możliwości nieautoryzowanego dostępu do kosza, jego dochodzenie wykazało, że nie było takiej aktywności na punkcie końcowym. Mimo to problem został już rozwiązany, a firma dotarła do klientów, których dotyczy problem.