Microsoft insta a la empresa de seguridad a exagerar el impacto de la mala configuración de BlueBleed

Hace más de un año, supimos que los clientes de Microsoft que usaban configuraciones predeterminadas para los portales de Power Apps terminaron exponiendo millones de registros internos. De manera similar, el gigante tecnológico con sede en Redmond emitió una advertencia sobre una mala configuración similar que también expuso los datos de los clientes.

El Centro de Respuesta de Seguridad de Microsoft (MSRC) publicó un documento técnico que explica que fue informado del problema, denominado «BlueBleed» por los investigadores de seguridad de SOCRadar el 24 de septiembre. clientes y socios autorizados están disponibles públicamente. Los nombres, las direcciones de correo electrónico, el contenido del correo electrónico, el nombre de la empresa, los números de teléfono y los archivos adjuntos estaban en juego.

Si bien Microsoft reconoció el informe de SOCRadar , expresó su decepción con la respuesta de la empresa de seguridad a la divulgación. Dice que los números en el informe SOCRadar fueron exagerados, y la firma lo calificó como «una de las mayores filtraciones B2B en los últimos años» que expuso datos de 65,000 organizaciones en 111 países. Microsoft afirma que muchos de los datos en cuestión eran solo duplicados, y que SOCRadar exageró el alcance de esta configuración incorrecta. Lamentó que la empresa no haya actualizado su publicación de blog incluso después de que el gigante tecnológico Redmond se quejó.

Además, Microsoft pidió a SOCRadar que anunciara su propia herramienta de detección de amenazas, diciendo que «no sirve a los intereses de privacidad o seguridad de los clientes y los expone potencialmente a riesgos innecesarios». En cambio, destacó sus propias recomendaciones para las empresas de seguridad que están trabajando en herramientas similares:

• implementar un sistema de verificación razonable para garantizar que el usuario es quien dice ser;
• seguir los principios de minimización de datos, limitando los resultados proporcionados solo a información relacionada solo con este usuario verificado;
• si esa empresa no puede determinar con certeza razonable qué clientes han afectado los datos, no revele a ese usuario información (incluidos metadatos/nombres de archivo) que pueda pertenecer a otro cliente.

Microsoft explicó que a pesar de la posibilidad de acceso no autorizado a la papelera de reciclaje, su investigación mostró que no hubo tal actividad en el punto final. A pesar de esto, el problema ya se solucionó y la compañía se comunicó con los clientes afectados.