Erro de configuração na cloud pública da Microsoft vaza 2,4 terabytes de dados
A Microsoft confirmou que um endpoint mal configurado foi responsável pela exposição e vazamento de dados de clientes do Azure. A falha de segurança deixou o endpoint acessível na internet sem qualquer necessidade de autenticação. A configuração incorreta foi feita involuntariamente e o vazamento não foi decorrente de vulnerabilidade de segurança, como foi ventilado inicialmente.
A configuração incorreta ocorreu no Azure Blob Storage e foi detectada no dia 24 de setembro passado pela empresa de segurança cibernética SOCRadar. O vazamento foi denominado pela empresa como BlueBleed. Embora a Microsoft não tenha revelado o número exato de clientes afetados, a SOCRadar calcula que o vazamento afetou 65 mil organizações em 111 países.
No total, foram vazados cerca de 2,4 terabytes de dados, que abrangem o período de 2017 a agosto deste ano, incluindo mais de 335 mil e-mails, 133 mil projetos e 548 mil usuários expostos. O dados consistiam em faturas, pedidos de produtos, documentos de clientes assinados e detalhes do ecossistema de parceiros, entre outros, bem como nomes de pessoas, endereços e mensagens de e-mail, nomes de empresas, números de telefone e outras informações sensíveis.
Em comunicado, a Microsoft disse que está enviando notificação aos clientes afetados, na qual diz: “Essa configuração incorreta resultou em potencial acesso não autenticado a alguns dados de transações comerciais correspondentes a interações entre a Microsoft e clientes em potencial, como o planejamento ou a implementação e o provisionamento de serviços da Microsoft”.