Microsoft resolvió una falla de seguridad que exponía los archivos y credenciales internos de la empresa a la Internet abierta.
Los investigadores de seguridad Can Yoleri, Murat Özfidan y Egemen Koçhisarlı de SOCRadar, una empresa de ciberseguridad que ayuda a las organizaciones a encontrar debilidades de seguridad, descubrieron un servidor de almacenamiento público y abierto alojado en el servicio en la nube Azure de Microsoft que almacenaba información interna relacionada con el motor de búsqueda Bing de Microsoft.
El servidor de almacenamiento de Azure albergaba códigos, scripts y archivos de configuración que contenían contraseñas, claves y credenciales utilizadas por los empleados de Microsoft para acceder a otras bases de datos y sistemas internos.
Pero el servidor de almacenamiento en sí no estaba protegido con contraseña y cualquiera podía acceder a él en Internet.
Yoleri le dijo a TechCrunch que los datos expuestos podrían ayudar a los actores maliciosos a identificar o acceder a otros lugares donde Microsoft almacena sus archivos internos. Identificar esas ubicaciones de almacenamiento «podría resultar en fugas de datos más importantes y posiblemente comprometer los servicios en uso», dijo Yoleri.
Los investigadores notificaron a Microsoft sobre la falla de seguridad el 6 de febrero y Microsoft aseguró los archivos filtrados el 5 de marzo.
No se sabe durante cuánto tiempo estuvo expuesto el servidor en la nube a Internet, o si alguien que no sea SOCRadar descubrió los datos expuestos en su interior. Cuando se contactó por correo electrónico, un portavoz de Microsoft no hizo comentarios al momento de la publicación. Microsoft no dijo si había restablecido o cambiado alguna de las credenciales internas expuestas.
Este es el último error de seguridad de Microsoft mientras la compañía intenta reconstruir la confianza con sus clientes después de una serie de incidentes de seguridad en la nube en los últimos años. En un fallo de seguridad similar el año pasado, los investigadores descubrieron que los empleados de Microsoft estaban exponiendo sus propios inicios de sesión de la red corporativa en un código publicado en GitHub.
Microsoft también fue criticada el año pasado después de que la compañía admitiera que no sabía cómo los piratas informáticos respaldados por China robaron una clave interna de firma de correo electrónico que les permitía un amplio acceso a las bandejas de entrada alojadas en Microsoft de altos funcionarios del gobierno de Estados Unidos. Una junta independiente de expertos cibernéticos encargada de investigar la violación del correo electrónico escribió en su informe, publicado la semana pasada, que los piratas informáticos tuvieron éxito gracias a una «cascada de fallas de seguridad en Microsoft».
En marzo, Microsoft dijo que continúa contrarrestando un ciberataque en curso que permitió a piratas informáticos respaldados por el estado ruso robar partes del código fuente de la empresa y correos electrónicos internos de ejecutivos corporativos de Microsoft.