مایکروسافت اخیرا تایید کرده است که نقص پیکربندی در یکی از سیستم هایش باعث افشای و درز اطلاعات مشتریانش شده است. همچنین پیش از اقدام مایکروسافت، SOCRadar که در زمینه اطلاعات تهدیدات فعالیت می کند، مقاله ای در وبلاگ منتشر کرد و مدعی شد که به دلیل خطای پیکربندی در نمونه ای از Azure Blob Storage، اطلاعات بیش از 60000 کاربر در 111 کشور فاش شده است. مایکروسافت این رقم را اغراق آمیز اعلام کرد و SOCRadar را به دلیل انتشار گزارش نقض داده خود مورد انتقاد قرار داد.
مقاله SOCRadar می گوید که نقض داده های مایکروسافت فقط مربوط به یکی از 6 سطل بزرگی است که مایکروسافت اخیراً شناسایی کرده است که حاوی اطلاعات 150000 شرکت در 123 کشور مختلف است. SOCRadar کل نشت داده ها را “خونریزی آبی” می نامد. به گفته آن شرکت: “نشت 65000 شی فقط مربوط به بزرگترین سطل مایکروسافت است و اطلاعات مربوط به 5 سطل دیگر را منتشر نکرده است.”
مایکروسافت گفت که دادههای فاش شده معمولاً شامل اطلاعات مربوط به تراکنشهای تجاری، از جمله تعاملات بین مایکروسافت و مشتریانش است و این نقض به سرعت برطرف شد. مقاله منتشر شده توسط مایکروسافت می گوید که این نقص پیکربندی در اسرع وقت شناسایی و رفع شده است و در حال حاضر این اطلاعات تنها با احراز هویت قابل دسترسی است. مایکروسافت در گزارش خود می گوید: “طبق تحقیقات انجام شده در این زمینه، اطلاعات حساس مربوط به حساب های کاربری یا سیستم های مشتری مانند رمزهای عبور به هیچ وجه فاش نشده است و تیم ما مستقیماً به مشتریان مربوط می شود.” گزارش مایکروسافت مستقیماً به این موضوع اشاره نکرده است. به Azure Blob Storage اشاره کنید، اما اعلام شد که جزئیات دیگری مانند اطلاعات شخصی مشتری در این نقضها افشا شده است. اطلاعات تراکنشهای تجاری که در این نقض فاش میشوند شامل «نام، آدرس ایمیل، محتوای ایمیل، نام شرکت، شماره تلفن و احتمالاً فایلهای مربوط به تعاملات مشتری با مایکروسافت یا شرکای مجاز آن است».
مایکروسافت اضافه کرد که این نشت ناشی از پیکربندی نادرست یکی از نقاط پایانی است که در کل اکوسیستم مایکروسافت استفاده نمی شود و به دلیل آسیب پذیری امنیتی ایجاد نشده است. مقاله مایکروسافت انتقادات مستقیمی به گزارش SOCRadar دارد. به گفته مایکروسافت: “ما از SOCRadar برای هشدار به ما در مورد این پیکربندی نادرست تشکر می کنیم، اما پس از بررسی پست وبلاگ این شرکت، متوجه می شویم که دامنه این موضوع بسیار اغراق آمیز است. بر اساس بررسیها و تجزیه و تحلیل جامع مجموعه دادهای که در این زمینه انجام دادهایم، اطلاعات تکراری با ارجاعات متعدد به ایمیلها، پروژهها و کاربران خاص وجود دارد. ما این موضوع را با جدیت دنبال می کنیم و بسیار متاسفیم که SOCRadar در این زمینه آمار اغراق آمیز کرده است.
مایکروسافت همچنین از ابزار SOCRadar انتقاد کرد که در صورت افشای اطلاعات مشتریان بر اساس نام دامنه آنها را مطلع می کند. بدیهی است که هر کاربری که به این ابزار جستجو دسترسی داشته باشد می تواند هر دامنه ای را در آن جستجو کند. به عنوان مثال این ابزار سایت آمازون را نیز شناسایی کرده است. مایکروسافت نیز از این مشکل انتقاد کرد. مایکروسافت در بیانیه ای گفت: «ما از اینکه SOCRadar یک ابزار جستجوی عمومی را منتشر کرده است که حریم خصوصی و امنیت مشتریان ما را به خطر می اندازد و آنها را در معرض خطرات غیرضروری قرار می دهد، راضی نیستیم. توصیه ما به تمام شرکت های امنیتی که قصد دارند چنین ابزاری را منتشر کنند این است که از اقدامات امنیتی اولیه برای محافظت از حریم خصوصی کاربران پیروی کنند.
نمونه های ارائه شده توسط مایکروسافت شامل اصول کمینه سازی داده ها و سیستم اعتبارسنجی منطقی است. علاوه بر این، مایکروسافت معتقد است که داده های متعلق به افراد دیگر نباید در اختیار مشتری قرار گیرد.
به روز رسانی 21 اکتبر (29 اکتبر): SOCRadar در پاسخ به انتقادات مایکروسافت مقاله جدیدی منتشر کرده است. این شرکت اعلام کرد که به درخواست مایکروسافت، قابلیت اجرای کوئری های BlueBleed را در ماژول شکار تهدید خود غیرفعال می کند. با این حال، SOCRadar ادعای مایکروسافت مبنی بر اغراق در آمار را رد کرد و معتقد است که موتور جستجوی BlueBleed برای مشتریان مایکروسافت خطری ایجاد نمی کند. در مقاله این شرکت آمده است: ذخیره داده های حساس سازمان ها در یک سطل عمومی خطرات بیشتری را به دنبال دارد.
Ensar Şeker، مدیر ارشد امنیت اطلاعات SOCRadar و معاون تحقیقات، در ایمیلی گفت که همه اطلاعات به ظاهر تکراری کاملاً تکراری نیستند و برخی از اجزای جداگانه یک سازمان بزرگتر هستند. او میگوید: «برخی از فایلهایی که مایکروسافت ادعا میکند تکراری هستند، دادههای لو رفته از شاخههای مختلف یک تجارت چندملیتی هستند. این سازمان ها معمولاً دارای مدیریت جداگانه، حساب های مالی و معماری فناوری اطلاعات هستند. ما معتقدیم اینها موجودیتهای متفاوتی هستند، اما مایکروسافت آنها را متفاوت نمیداند و با آنها به عنوان یک حساب رفتار میکند.
Şeker می گوید: «SOCRadar داده های واقعی را ذخیره نمی کند و عملکرد این ابزار مشابه Have I Been Pwned است. او میگوید: «ما یک صفحه استعلام آماده کردهایم تا به شرکتهایی که تحت تأثیر این نقض و سایر موارد نقض دادههای مشابه قرار گرفتهاند اطلاع دهیم. در این صفحه، شرکت ها می توانند بررسی کنند که آیا داده های آنها به صورت ناشناس در سطل های باز منتشر شده است یا خیر. این ابزار به نوعی مانند Have I Been Pwned است که فقط برای تجارت ساخته شده است. داده های فاش شده متعلق به ما نیست، بنابراین ما هیچ داده ای را ذخیره نمی کنیم. همه این سطل ها در حال حاضر طبق اطلاعیه ما ایمن و ایمن هستند. ما هیچ داده ای به کسی نمی دهیم و فقط مردم را از این حادثه آگاه می کنیم تا از بروز چنین مسائلی در آینده جلوگیری کنیم.