اخیراً ۲٫۴ ترابایت دادههای حساس متعلق به مشتریان مایکروسافت فاش شده که خشم بسیاری از منتقدان را برانگیخته است.
نقص امنیتی در سرویسهای آنلاین مایکروسافت به فاششدن ۲٫۴ ترابایت دادهی حساس شامل فاکتورها و قراردادههای امضاشده، اطلاعات تماس و ایمیلهای ۶۵ هزار مشتری فعلی این شرکت در پنج سال اخیر منجر شده است.
شرکت امنیتی SOCRadar چند روز قبل برای اولینبار خبر فاششدن دادههای مشتریان مایکروسافت را منتشر کرد. اطلاعات فاششده شامل دادههایی از سال ۲۰۱۷ تا آگوست ۲۰۲۲ است که اسناد کاری، اطلاعات کاربری، سفارشها و پیشنهادها محصول، جزئیات پروژه، اطلاعات شخصی و سندهای مرتبط با مالکیت معنوی نیز میان آنها بهچشم میخورد. SOCRadar میگوید این اطلاعات درنتیجهی پیکربندی نادرست سیستم ذخیرهسازی Azure Blob بهدست آمدهاند.
بهگزارش Arstechnica، مایکروسافت چند روز قبل خبر افشای دادههای مشتریان را تأیید و اعلام کرد که شرکت امنیتی SOCRadar دربارهی آن بسیار مبالغه کرده است؛ زیرا برخی از این دادهها شامل اطلاعات تکراری با ارجاعات متعدد به ایمیلها و پروژهها و کاربران یکسان است. غول فناوری مستقر در ردموند برای توصیف فاششدن این اطلاعات از کلمهی «مسئله» استفاده کرد و گفت:
-
کیف رودوشی زنانه چرم مشهد مدل S0769-083
خرید محصول -
مسواک ریجوی مدل Recolor با برس متوسط
خرید محصول -
گوشواره طلا ۱۸ عیار زنانه تاج مدل G542W
۶,۲۵۷,۵۷۰ ﷼ انتخاب گزینهها این محصول دارای انواع مختلفی می باشد. گزینه ها ممکن است در صفحه محصول انتخاب شوند -
کلاه نوزادی کد A14 مجموعه ۴ عددی
اطلاعات بیشتر -
توپ تنیس اکولوس مدل ۸۳۸ بسته ۳ عددی
خرید محصول -
مایو زنانه مدل colorful دامن دار آستر دار کاپدار
۴۹۹,۵۰۰ ﷼ انتخاب گزینهها این محصول دارای انواع مختلفی می باشد. گزینه ها ممکن است در صفحه محصول انتخاب شوند -
عینک آفتابی امریکن اوپتیکال مدل ORIGINAL PILOT pi
خرید محصول -
اسپیکر بلوتوثی قابل حمل تی اند جی مدل TG-605
خرید محصول
این مسئله بهدلیل پیکربندی اشتباه و ناخواسته بهوجود آمده است که البته چنین سیستمی در سرتاسر اکوسیستم مایکروسافت استفاده نمیشود و درنتیجه نمیتوان آن را آسیبپذیری امنیتی بهحساب آورد.
پست مایکروسافت دربارهی فاششدن دادههای مشتریان این شرکت حاوی جزئیات بسیار مهمی مثل شرح دقیقتر از نوع اطلاعات به بیرون درزکرده و تعداد مشتریان کنونی تحتتأثیر قرارگرفته این شرکت است. علاوهبراین، مایکروسافت شرکت SOCRadar را بهدلیل ارائهی آمار نادرست و قراردادن موتور جستوجویی که افراد میتوانند با استفاده از آن از فاششدن اطلاعات خود مطلع شوند، سرزنش کرده است.
مشتریانی که تحتتأثیر افشای اطلاعات اخیر مایکروسافت قرار گرفتهاند، پس از تماس با این شرکت و مطرحکردن این سؤال که «چه دادههای خاصی از سازمان آنها درمعرض دید عموم قرار گرفته است؟» با این پاسخ مواجه شدند:
ما نمیتوانیم دادههای آسیبدیدهی خاص را برای این مشکل ارائه دهیم.
همچنین، منتقدان از مایکروسافت بهدلیل نحوهی اطلاعرسانی مستقیم به افرادی که تحتتأثیر افشای اطلاعات قرار گرفته بودند، انتقاد کردند. این شرکت ازطریق مرکز پیامهای سیستم ارتباطی داخلی خود که برای برقراری ارتباط میان مدیران از آن استفاده میکند، با نهادهای آسیبدیده تماس گرفت؛ البته همهی مدیران توانایی دسترسی به ابزار مذکور را ندارند و این احتمال وجود دارد که برخی از اعلانها دیده نشده باشند.
یکی از محققان امنیتی به نام کوین بومونت در توییتر نوشت:
امتناع مایکروسافت برای اطلاعدادن به مشتریانی که دادههای آنها درمعرض دید عموم قرار گرفته است و اطلاعندادن به سازمانهای تنظیمکننده که الزامی قانونی محسوب میشود، نشانههای اشتباهی بزرگ است.
بومونت درادامه اسکرینشاتهایی را منتشر کرد که نشان میدهد دادههای فاششده از ماهها قبل ازطریق Grayhat Watfare دردسترس عموم بوده است و پایگاه دادههای افشاشده در بستههای عمومی جمعآوری و ذخیره شدهاند.
همانطورکه تصاویر منتشرشده از Grayhat Warfare نشان میدهند، دادههای ذخیرهشده شامل قراردادهای امضاشدهی دیجیتالی و سفارشهای خرید است. بومونت میگوید که سایر اطلاعات فاششده شامل ایمیلهای دولتی ایالات متحده، توضیحاتی دربارهی پروژههای آفیس ۳۶۵، پول، دادههای مربوط به زیرساختهای ملی حیاتی (CNI) و… است.
علاوهبر انتقاد به روش مایکروسافت در برخورد با مشکل فاششدن اطلاعات، سؤالاتی هم دربارهی سیاستهای این شرکت در حفظ اطلاعات مطرح شده است. دادههایی که عمر آنها به چند سال میرسد، اغلب برای مجرمان مفید هستند و بهترین راهکار در چنین شرایطی، حذف دورهای اطلاعات است.