Erro de configuração no Azure expões dados de 65 mil empresas

No total, foram vazados cerca de 2,4 terabytes de dados, incluindo mais de 335 mil e-mails, 133 mil projetos e 548 mil usuários expostos.

A Microsoft confirmou que um endpoint mal configurado foi responsável pela exposição e vazamento de dados de clientes do Azure. A falha de segurança deixou o endpoint acessível na internet sem qualquer necessidade de autenticação. A configuração incorreta foi feita involuntariamente e o vazamento não foi decorrente de vulnerabilidade de segurança, como foi ventilado inicialmente.

A configuração incorreta ocorreu no Azure Blob Storage e foi detectada no dia 24 de setembro passado pela empresa de segurança cibernética SOCRadar. O vazamento foi denominado pela empresa como BlueBleed.

Embora a Microsoft não tenha revelado o número exato de clientes afetados, a SOCRadar calcula que o vazamento afetou 65 mil organizações em 111 países.

No total, foram vazados cerca de 2,4 terabytes de dados, que abrangem o período de 2017 a agosto deste ano, incluindo mais de 335 mil e-mails, 133 mil projetos e 548 mil usuários expostos. O dados consistiam em faturas, pedidos de produtos, documentos de clientes assinados e detalhes do ecossistema de parceiros, entre outros, bem como nomes de pessoas, endereços e mensagens de e-mail, nomes de empresas, números de telefone e outras informações sensíveis.

Em comunicado, a Microsoft disse que está enviando notificação aos clientes afetados, na qual diz: “Essa configuração incorreta resultou em potencial acesso não autenticado a alguns dados de transações comerciais correspondentes a interações entre a Microsoft e clientes em potencial, como o planejamento ou a implementação e o provisionamento de serviços da Microsoft”.

Agora, a SOCRadar disponibilizou em seu portal de pesquisa a lista do BlueBleed para que os clientes da Microsoft, que estejam preocupados de ter sido afetados, possam consultar para saber se foram alvo do vazamento

A Microsoft parece não ter gostado da forma como a SOCRadar lidou com a violação. Em uma declaração oficial, a empresa disse que “incentivar as entidades a usar a ferramenta de pesquisa [da SOCRadar] não é do melhor interesse para garantir a privacidade ou segurança do cliente e potencialmente expô-los a riscos desnecessários”.

Em resposta, o vice-presidente de pesquisas e CISO da SOCRadar, Ensar Seker, disse ao BleepingComputer que “nenhum dado foi baixado. Alguns foram rastreados pelo nosso mecanismo de pesquisa, mas, como prometemos à Microsoft, nenhum dado foi compartilhado até agora e todos os dados rastreados foram excluídos de nossos sistemas”.