Esposti 2,4TB di dati, piovono critiche su Microsoft

21 Ottobre 2022 24

Microsoft è stata subissata di critiche per le modalità con cui ha comunicato l'esposizione di ben 2,4TB di dati critici comprendenti fatture, contratti, dettagli di progetti, documenti che potrebbero rivelare proprietà intellettuale e informazioni personali di 65.000 clienti in 111 Paesi tra il 2017 e il 2022.

La causa della pubblicazione sarebbe dovuta ad un endpoint Microsoft configurato in modo errato, dunque non ad una vulnerabilità di sicurezza come nel caso che ha riguardato di recente Exchange. Ciò ha messo in pericolo i dati, rendendoli potenzialmente accessibili a furti da parte di soggetti terzi: "questa configurazione errata", spiega l'azienda di Redmond, "ha comportato il potenziale accesso non autenticato ad alcuni dati delle transazioni aziendali corrispondenti alle interazioni tra Microsoft e i potenziali clienti".

L'endpoint è stato corretto subito dopo che la comunicazione inviata a Microsoft dai ricercatori della società di sicurezza SOCRadar. Ora è nuovamente accessibile esclusivamente con autenticazione. "La nostra indagine non ha riscontrato alcuna indicazione che gli account o i sistemi dei clienti fossero stati compromessi. Abbiamo avvisato direttamente i clienti interessati", ha spiegato la società di Redmond.

DATI ESAGERATI

BlueBleed è il termine coniato da SOCRadar per indicare "informazioni sensibili trapelate collettivamente da sei bucket mal configurati". In particolare, qui si descrive l'esposizione dei dati causata da un'archiviazione BLOB di Azure configurata in modo errato.

Un ottimo lavoro condotto da SOCRadar, dunque, che tuttavia non è stato del tutto apprezzato da Microsoft che critica come il "problema" sia stato riportato in modo esagerato.

Siamo delusi dal fatto che SOCRadar abbia esagerato i numeri coinvolti in questo problema anche dopo aver evidenziato il loro errore.

I dati esposti, dice Microsoft, includono "informazioni duplicate, con più riferimenti alle stesse email, progetti e utenti". E per questo motivi i dati esposti sarebbero decisamente meno rispetto a quelli riportati dalla società di sicurezza informatica.

E ancora:

Siamo altresì delusi dal fatto che SOCRadar abbia scelto di rilasciare pubblicamente uno strumento di ricerca che non è il miglior modo per garantire la privacy o la sicurezza dei clienti esponendoli potenzialmente a rischi inutili.

Ciò che non è andato giù a molti è il modo con cui Microsoft ha voluto comunicare il fatto, senza cioè entrare nel merito tecnico dell'accaduto e preferendo piuttosto lamentarsi dell'operato della società di sicurezza SOCRadar. Addirittura un cliente di Microsoft alla richiesta di informazioni su quali suoi dati siano stati esposti si è sentito rispondere "non siamo in grado di fornire i dati specifici interessati da questo problema".

Altra critica nei confronti della società di Satya Nadella riguarda l'utilizzo del Centro Messaggi per dare comunicazione ai soggetti colpiti: si tratta di uno strumento a cui non tutti gli amministratori hanno accesso, dunque una parte di questi potrebbe non essere stata informata.


24

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
FactCheckoIlDisagio
Polonio

Ma se da me i dipendenti sono andati nel panico col passaggio da Outlook 2016 a Outlook 365, davvero pensi sia fattibile un passaggio a Linux?

Aleger, aleger il bus del ...

ma quali critiche... son ragazzi... nessun può scrivere software perfetto, parola degli espertoni del forum!

deepdark

Secondo me lo fa per dimostrare all'antitrust che sono degli incompetenti.

DeeoK

Una perla dietro l'altra.

fv674

Sono tutte baggianate che su linux si settano anche in automatico con uno script.

Liam McPoyle
Bellerofonte

Se ho compreso la tua affermazione il trade-off che si è creato è un conto che, come la cronaca dimostra non finisce mai.

Alexv

Un server configurato male. Che c'entra il SO dei PC?

T. P.

uff! :(

Fabrizio
Jotaro

Con questo stiamo tutti più sicuri.

Simone

Hai bisogno di un Sysadmin...
Ma anche un bravo smanettone. Altrimenti chiedi mano ad una azienda specializzata e loro ti preparano uno script che rispecchi le tue richieste.
Puoi fare tutto e il contrario di tutto, i limiti sono la fantasia ed il firmware.
Io ho cluster di compiuter con settaggi molto particolari, ed ho script appositi per evitare di resettarli a mano ogni volta. Scelgo cosa posono fare, eseguibili che sono preinstallati, quali possono essere avviati quali no, che dati puó leggere quali eseguire quali scrivere, scelgo la percentuale massima di carica della batteria, scelgo le periferiche eseguibili, scelgo il tipo di ambiende desktop eseguire all'avvio per ogni singolo utente, scelgo a che ora si devono spegnere i compiuter o quante ore utilizzare etc...

PyEr

Ma io non parlerei di curva di apprendimento, se rimaniamo nell'ambito della PA(che prima citavi come tuo primo commento) i dipendenti stanno davanti ad un software che è uguale alla versione per windows. Il problema non al massimo i costi per convertire l'infrastruttura, ma secondo me sarebbero giustificati per il fine.

Alessandro Peter

Ti butto un paio di esempi:
Come blocco le USB utente? Come setto browser predefinito e homepage? Come setto i livelli di protezione per i siti web e le relative esclusioni?
Come imposto le configurazioni di risparmio energetico? I mount di rete? Le stampanti predefinite, policy di screensaver e autolock, sfondo del desktop, server NTP, cifratura minima…
Insomma, credo di essermi spiegato

Simone

Cosa ha windows che linux non ha o non puó fare?
Vorrei arrivare a capire quello. No perché se parliamo di server e connettivitá Linux a Windows gli fa 10:1 lato potenzialitá

Poi se tu parli di applicativi e curva di apprendimento possiamo esesre d'accordo

Alessandro Peter

E chi ha parlato della gestione dei gruppi?
Non esistono solo accessi e permessi utente in AD

Simone

Guarda che il mondo Unix ha una gestione dei gruppi molto strutturata e complessa, che fa parte delle fondamenta strutturali del kernel.
Al piú puó essere scomodo lavorarci, ma dal punto di vista delle funzionalitá le potenzialitá di gestione delle politiche di gruppo su linux sono illimitate, il tutto lato kernel.

MrPhil17

Credo che, nonostante possa essere una mossa intelligente, poi si ritroverebbero ad utilizzare software scritto in Java per compensare... Figurati se la pubblica amministrazione riesce ad assumere personale competente per lo sviluppo di programmi in linguaggi decenti.

Alessandro Peter

Dinosauro inadeguato?
Ma poi che c’entra questo problema con gli OS?

Poi arriva Linux…
Hai una vaga idea della capillarità e delle potenzialità offerte dalla combinazione di Windows+365+Azure?
Come le distribuisci delle policy di dominio nel mondo Linux? Con Samba?

Simone

Mancano purtroppo software e strumenti per poter riformare la PA. Anche se a ben vedere sarebbe un'ottima cosa

Franz 451

Linux e stato formato nel 91 release poi nel 94, gia la maggiorparte dei PA era gia istruita ad usare windows.
vuoi riformare tutte le instutuzioni serve tempo e denaro

FactCheckoIlDisagio

Quando penso che questa è la compagnia che ha in mano la pubblica amministrazione di 200 paesi mi viene da piangere.

Capisco che macOS costi un rene, ma ca**o almeno usate Linux e lasciate morire questo dinosauro inadeguato.

Blanked

Benissimo :D

Tecnologia

Libero e Virgilio giorni di fuoco, davvero gli S23 non sono già ufficiali? | HDrewind 50

Articolo

Prime Video, tutte le novità in arrivo a febbraio 2023

Sicurezza

Oggi è il Data Privacy Day: cos'è, rischi e numeri dell'era moderna e cosa fare

Tecnologia

Recensione Ecovacs Deebot X1e OMNI: tanto potenziale ma occhio al prezzo!