۲٫۴ ترابایت داده‌های حساس مربوط به مشتریان مایکروسافت فاش شد

اخیراً ۲٫۴ ترابایت داده‌های حساس متعلق به مشتریان مایکروسافت فاش شده که خشم بسیاری از منتقدان را برانگیخته است.
   
نقص امنیتی در سرویس‌های آنلاین مایکروسافت به فاش‌شدن ۲٫۴ ترابایت داده‌ی حساس شامل فاکتورها و قرارداده‌های امضاشده، اطلاعات تماس و ایمیل‌های ۶۵ هزار مشتری فعلی این شرکت در پنج‌ سال اخیر منجر شده است.

شرکت امنیتی SOCRadar چند روز قبل برای اولین‌بار خبر فاش‌شدن داده‌های مشتریان مایکروسافت را منتشر کرد. اطلاعات فاش‌شده شامل داده‌هایی از سال ۲۰۱۷ تا آگوست ۲۰۲۲ است که اسناد کاری، اطلاعات کاربری، سفارش‌ها و پیشنهاد‌ها محصول، جزئیات پروژه، اطلاعات شخصی و سندهای مرتبط با مالکیت معنوی نیز میان آن‌ها به‌چشم می‌خورد. SOCRadar می‌گوید این اطلاعات درنتیجه‌ی پیکربندی نادرست سیستم ذخیره‌سازی Azure Blob به‌دست آمده‌اند.

به‌گزارش Arstechnica، مایکروسافت چند روز قبل خبر افشای داده‌های مشتریان را تأیید و اعلام کرد که شرکت امنیتی SOCRadar درباره‌ی آن بسیار مبالغه کرده است؛ زیرا برخی از این داده‌ها شامل اطلاعات تکراری با ارجاعات متعدد به ایمیل‌ها و پروژه‌ها و کاربران یکسان است. غول فناوری مستقر در ردموند برای توصیف فاش‌شدن این اطلاعات از کلمه‌ی «مسئله» استفاده کرد و گفت:

این مسئله به‌دلیل پیکربندی اشتباه و ناخواسته‌ به‌وجود آمده است که البته چنین سیستمی در سرتاسر اکوسیستم مایکروسافت استفاده نمی‌شود و درنتیجه نمی‌توان آن را آسیب‌پذیری امنیتی به‌حساب آورد.
پست مایکروسافت درباره‌ی فاش‌شدن داده‌های مشتریان این شرکت حاوی جزئیات بسیار مهمی مثل شرح دقیق‌تر از نوع اطلاعات به‌ بیرون درز‌کرده‌ و تعداد مشتریان کنونی تحت‌تأثیر قرارگرفته این شرکت است. علاوه‌براین، مایکروسافت شرکت SOCRadar را به‌دلیل ارائه‌ی آمار نادرست و قراردادن موتور جست‌وجویی که افراد می‌توانند با استفاده از آن از فاش‌شدن اطلاعات خود مطلع شوند، سرزنش کرده است.

مشتریانی که تحت‌تأثیر افشای اطلاعات اخیر مایکروسافت قرار گرفته‌اند، پس‌ از تماس با این شرکت و مطرح‌‌کردن این سؤال که «چه داده‌های خاصی از سازمان آن‌ها درمعرض دید عموم قرار گرفته است؟» با این پاسخ مواجه شدند:

ما نمی‌توانیم داده‌های آسیب‌دیده‌ی خاص را برای این مشکل ارائه دهیم.
همچنین، منتقدان از مایکروسافت به‌دلیل نحوه‌ی اطلاع‌رسانی مستقیم به افرادی که تحت‌تأثیر افشای اطلاعات قرار گرفته بودند، انتقاد کردند. این شرکت ازطریق مرکز پیام‌های سیستم ارتباطی داخلی خود که برای برقراری ارتباط میان مدیران از آن استفاده می‌کند، با نهادهای آسیب‌دیده تماس گرفت؛ البته همه‌ی مدیران توانایی دسترسی به ابزار مذکور را ندارند و این احتمال وجود دارد که برخی از اعلان‌ها دیده نشده باشند.

یکی از محققان امنیتی به‌ نام کوین بومونت در توییتر نوشت:

امتناع مایکروسافت برای اطلاع‌دادن به مشتریانی که داده‌های آن‌ها درمعرض دید عموم قرار گرفته است و اطلاع‌‌ندادن به سازمان‌های تنظیم‌کننده که الزامی قانونی محسوب می‌شود، نشانه‌های اشتباهی بزرگ است.

بومونت در‌ادامه اسکرین‌شات‌هایی را منتشر کرد که نشان می‌دهد داده‌های فاش‌شده از ماه‌ها قبل ازطریق Grayhat Watfare دردسترس عموم بوده است و پایگاه داده‌های افشاشده در بسته‌های عمومی جمع‌آوری و ذخیره شده‌اند.

همان‌طور‌که تصاویر منتشر‌شده از Grayhat Warfare نشان می‌دهند، داده‌های ذخیره‌شده شامل قراردادهای امضاشده‌ی دیجیتالی و سفارش‌های خرید است. بومونت می‌گوید که سایر اطلاعات فاش‌شده شامل ایمیل‌های دولتی ایالات متحده، توضیحاتی درباره‌ی پروژه‌های آفیس ۳۶۵، پول، داده‌های مربوط به زیرساخت‌های ملی حیاتی (CNI) و… است.

علاوه‌بر انتقاد به روش مایکروسافت در برخورد با مشکل فاش‌شدن اطلاعات، سؤالاتی هم درباره‌ی سیاست‌های این شرکت در حفظ اطلاعات مطرح شده است. داده‌هایی که عمر آن‌ها به چند سال می‌رسد، اغلب برای مجرمان مفید هستند و بهترین راهکار در چنین شرایطی، حذف دوره‌ای اطلاعات است.