Microsoft esorta la società di sicurezza a esagerare l’impatto dell’errata configurazione di BlueBleed

Più di un anno fa, abbiamo appreso che i clienti Microsoft che utilizzavano le configurazioni predefinite per i portali Power Apps hanno finito per esporre milioni di record interni. Allo stesso modo, il gigante tecnologico con sede a Redmond ha emesso un avviso su una configurazione errata simile che ha anche esposto i dati dei clienti.

Il Microsoft Security Response Center (MSRC) ha pubblicato un white paper in cui spiegava di essere stato informato del problema, soprannominato “BlueBleed” dai ricercatori di sicurezza di SOCRadar il 24 settembre. clienti e partner autorizzati sono pubblicamente disponibili. Erano in gioco nomi, indirizzi e-mail, contenuto e-mail, nome dell’azienda, numeri di telefono e allegati.

Sebbene Microsoft abbia riconosciuto il rapporto SOCRadar , ha espresso delusione per la risposta dell’azienda di sicurezza alla divulgazione. Dice che i numeri nel rapporto SOCRadar erano esagerati, con l’azienda che l’ha definita “una delle più grandi perdite B2B degli ultimi anni” che ha esposto i dati di 65.000 organizzazioni in 111 paesi. Microsoft afferma che molti dei dati in questione erano solo duplicati e che l’ambito di questa configurazione errata è stato esagerato da SOCRadar. Si è lamentato del fatto che l’azienda non sia riuscita ad aggiornare il suo post sul blog anche dopo che il gigante della tecnologia Redmond si è lamentato.

Inoltre, Microsoft ha invitato SOCRadar a pubblicizzare il proprio strumento di rilevamento delle minacce, affermando che “non serve la privacy o gli interessi di sicurezza dei clienti e potenzialmente li espone a rischi inutili”. Invece, ha evidenziato i suoi consigli per le società di sicurezza che stanno lavorando su strumenti simili:

• implementare un ragionevole sistema di verifica per garantire che l’utente sia chi afferma di essere;
• seguire i principi della minimizzazione dei dati, limitando i risultati forniti alle sole informazioni relative al solo utente verificato;
• se tale società non è in grado di determinare con ragionevole certezza quali clienti hanno influenzato i dati, non divulgare a tale utente le informazioni (inclusi metadati/nomi di file) che potrebbero appartenere a un altro cliente.

Microsoft ha spiegato che, nonostante la possibilità di accesso non autorizzato al cestino, la sua indagine ha mostrato che non c’era tale attività sull’endpoint. Nonostante ciò, il problema è già stato risolto e l’azienda ha contattato i clienti interessati.