Rò rỉ dữ liệu tại tập đoàn công nghệ Microsoft làm lộ thông tin liên hệ, email của khách hàng

Công ty bảo mật máy chủ của Microsoft được thông báo về vụ rò rỉ vào ngày 24 tháng 9 năm 2022 bởi các nhà nghiên cứu bảo mật tại công ty tình báo SOCRadar. Microsoft cho biết một số thông tin nhạy cảm của khách hàng đã bị lộ do một máy chủ Microsoft bị cấu hình sai có thể truy cập qua Internet.

“Cấu hình sai này dẫn đến khả năng truy cập không được xác thực vào một số dữ liệu giao dịch kinh doanh tương ứng với các tương tác giữa Microsoft và khách hàng tiềm năng, chẳng hạn như việc lập kế hoạch hoặc triển khai tiềm năng và cung cấp các dịch vụ của Microsoft”, công ty tiết lộ.

“Cuộc điều tra của chúng tôi không tìm thấy dấu hiệu nào cho thấy tài khoản hoặc hệ thống của khách hàng đã bị xâm phạm. Chúng tôi đã thông báo trực tiếp cho những khách hàng bị ảnh hưởng.”

Theo Microsoft, thông tin bị lộ bao gồm tên, địa chỉ email, nội dung email, tên công ty và số điện thoại, cũng như các tệp được liên kết với hoạt động kinh doanh giữa khách hàng bị ảnh hưởng và Microsoft hoặc đối tác được ủy quyền của Microsoft. Redmond nói thêm rằng vụ rò rỉ là do “việc cấu hình sai không cố ý trên một Endpoint không được sử dụng trong hệ sinh thái Microsoft” chứ không phải do lỗ hổng bảo mật.

Vụ rò rỉ dữ liệu được cho là có liên quan đến 65.000 thiết bị trên toàn thế giới.

Trong khi Microsoft hạn chế cung cấp bất kỳ chi tiết bổ sung nào liên quan đến vụ rò rỉ dữ liệu này, SOCRadar đã tiết lộ trong một bài đăng trên blog được xuất bản ngày 19/10/2022 rằng dữ liệu được lưu trữ trên Azure Blob Storage bị định cấu hình sai.

Tổng cộng, SOCRadar tuyên bố họ có thể liên kết thông tin nhạy cảm này với hơn 65.000 thiết bị từ 111 quốc gia được lưu trữ trong các tệp từ năm 2017 đến tháng 8 năm 2022. SOCRadar cho biết: “Vào ngày 24 tháng 9 năm 2022, Mô-đun bảo mật đám mây tích hợp của SOCRadar đã phát hiện ra một Azure Blob Storage bị định cấu hình sai do Microsoft duy trì có chứa dữ liệu nhạy cảm từ một nhà cung cấp đám mây cấu hình cao,”.

Công ty tình báo nói thêm rằng, từ phân tích của mình, dữ liệu bị rò rỉ “bao gồm tài liệu Proof-of-Execution (PoE) và Statement of Work (SoW), thông tin người dùng, đơn đặt hàng / ưu đãi sản phẩm, chi tiết dự án, PII (Thông tin nhận dạng cá nhân) dữ liệu và tài liệu có thể tiết lộ tài sản trí tuệ. “

Microsoft đã phản hồi họ tin rằng SOCRadar “đã phóng đại rất nhiều về phạm vi của vấn đề này” và “những con số” là không chính xác. Thêm vào đó, Redmond nói rằng quyết định của SOCRadar thu thập dữ liệu và làm cho nó có thể tìm kiếm được bằng cổng tìm kiếm chuyên dụng “không có lợi ích tốt nhất là đảm bảo quyền riêng tư hoặc bảo mật của khách hàng và có khả năng khiến họ gặp rủi ro không cần thiết.”

Theo cảnh báo của Trung tâm quản trị Microsoft 365 về vi phạm dữ liệu này được công bố vào ngày 4 tháng 10 năm 2022, Microsoft “không thể cung cấp dữ liệu cụ thể bị ảnh hưởng từ sự cố này.” Nhóm hỗ trợ của công ty cũng đã nói với những khách hàng đã liên hệ rằng họ sẽ không thông báo cho cơ quan quản lý dữ liệu vì “không có thông báo nào khác được yêu cầu theo GDPR” ngoài những thông báo được gửi đến những khách hàng bị ảnh hưởng.

Công cụ trực tuyến để tìm kiếm dữ liệu bị rò rỉ

Cổng tìm kiếm rò rỉ dữ liệu của SOCRadar có tên BlueBleed và nó cho phép các công ty tìm xem thông tin nhạy cảm của họ có bị lộ cùng với dữ liệu bị rò rỉ hay không. Bên cạnh những gì được tìm thấy bên trong máy chủ bị sai cấu hình của Microsoft, BlueBleed cũng cho phép tìm kiếm dữ liệu được thu thập từ 5 nhóm lưu trữ công cộng khác.

Chỉ riêng trong máy chủ của Microsoft, SOCRadar tuyên bố đã tìm thấy 2,4 TB dữ liệu chứa thông tin nhạy cảm, với hơn 335.000 email, 133.000 dự án và 548.000 người dùng bị lộ được phát hiện trong khi phân tích các tệp bị rò rỉ cho đến nay. Theo phân tích của SOCRadar, các tệp này chứa email khách hàng, tài liệu SOW, chào hàng sản phẩm, công trình POC (Proof of Concept), chi tiết hệ sinh thái đối tác, hóa đơn, chi tiết dự án, bảng giá sản phẩm của khách hàng, tài liệu POE, đơn đặt hàng sản phẩm, tài liệu khách hàng đã ký, nhận xét nội bộ cho khách hàng, chiến lược bán hàng và tài liệu tài sản của khách hàng.

SOCRadar cảnh báo: “Những kẻ đe dọa có thể đã truy cập vào nhóm có thể sử dụng thông tin này dưới các hình thức khác nhau để đe dọa, tống tiền, tạo ra các cuộc tấn công social engineering với sự trợ giúp của thông tin bị lộ hoặc chỉ đơn giản là bán thông tin cho người trả giá cao nhất trên dark web và các kênh Telegram”.

“Không có dữ liệu nào được tải xuống. Một số dữ liệu đã được công cụ của chúng tôi thu thập thông tin, nhưng như chúng tôi đã hứa với Microsoft, không có dữ liệu nào được chia sẻ cho đến nay và tất cả dữ liệu được thu thập thông tin này đã bị xóa khỏi hệ thống của chúng tôi”, SOCRadar VP của Nghiên cứu và CISO Ensar Şeker nói với BleepingComputer.

“Chúng tôi chuyển hướng tất cả khách hàng của mình đến MSRC nếu họ muốn xem dữ liệu gốc. Tìm kiếm có thể được thực hiện thông qua siêu dữ liệu (tên công ty, tên miền và email). Do áp lực dai dẳng từ Microsoft, chúng tôi thậm chí phải gỡ trang truy vấn của mình xuống hôm nay.

“Trên trang truy vấn này, các công ty có thể xem liệu dữ liệu của họ có được xuất bản ẩn danh trong bất kỳ nhóm mở nào hay không. Bạn có thể nghĩ nó giống như một phiên bản B2B của hasIbeenpwned. Dữ liệu bị rò rỉ không thuộc về chúng tôi, vì vậy chúng tôi không giữ lại dữ liệu nào.

“Chúng tôi rất thất vọng về các nhận xét và cáo buộc của MSRC sau tất cả các hoạt động hợp tác và hỗ trợ do chúng tôi cung cấp để ngăn chặn tuyệt đối thảm họa mạng toàn cầu.”

Nguồn: Microsoft data breach exposes customers’ contact info, emails (bleepingcomputer.com)