Noticias
La cuestionable respuesta de Microsoft ante la filtración de 2,4 TB de datos de clientes y empresas
Enésima fuga de datos en unas de las grandes tecnológicas del planeta. Sin embargo, esta vez la respuesta de esta ha sido todo menos convincente. Los hechos fueron desvelados por la firma de seguridad SOCRadar, ¿y la víctima o la culpable de tal fuga? Microsoft.
Según SOCRadar, Microsoft ha tenido un error de seguridad que ha dejado expuestos 2,4 terabytes de datos con información comprendida entre 2017 y agosto de este mismo año. Dicha información ha sido de lo más variopinta: desde contratos firmados, facturas, informaciones de contactos, correos electrónicos, pedidos y ofertas de productos, pruebas de ejecución de servicios… en definitiva información de identificación personal y propiedad intelectual de, al menos, 65.000 clientes actuales.
La firma de seguridad insiste que encontró expuesta toda esa información en un solo bucket de datos como resultados de un Azure Blob Storage mal configurado. O lo que es lo mismo, la solución de almacenamiento de objetos de Microsoft para la nube y optimizado para almacenar grandes cantidades de datos no estructurados.
Microsoft no ha tardado en salir al paso para desmentir dicha información, asegurando que SOCRadar “exageró enormemente el alcance de este problema» ya que algunos de los datos expuestos incluían «información duplicada, con múltiples referencias a los mismos correos electrónicos, proyectos y usuarios». Y se excusó afirmando que “el problema fue causado por una configuración incorrecta involuntaria en un punto final que no está en uso en todo el ecosistema de Microsoft” por lo que “no fue el resultado de una vulnerabilidad de seguridad”.
La mala comunicación del hecho en sí por parte de Microsoft
Al conocerse dicho error de seguridad, uno de los clientes de Microsoft se puso en contacto con la compañía exigiendo explicaciones. Y con la voluntad de saber qué datos específicos de su empresa se habían visto afectados. La respuesta de la big tech no fue del todo satisfactoria para el cliente: “No podemos proporcionar los datos afectados específicos de este problema», según un ingeniero de soporte técnico de Microsoft.
Lo criticable, según SOCRadar y los afectados, no está solo en dicha fuga o error de seguridad, sino cómo la compañía lo notificó a los afectados -prácticamente todo empresas-. Para ello, usó el Centro de mensajes. Se trata de un sistema de mensajería interna que Microsoft utiliza para comunicarse con los administradores. Aunque, no todos los administradores tienen la capacidad de acceder a esta herramienta, por lo que es probable que algunas notificaciones de dicho error no se hayan sido vistas aún. Una filtración por Twitter sobre la respuesta de Microsoft enfadó a los afectados. En ella, la compañía afirmaba que no estaba obligada por ley a revelar el origen de dicho lapso a las autoridades.
Sin embargo, la cosa ha ido más allá. También por la red social Twitter, un investigador informático, Kevin Beaumont, desveló con diferentes capturas de pantalla como dichos datos han estado accesibles públicamente durante meses en Grayhat Warfare, una base de datos que barre y almacena los datos expuestos en cubos públicos. Esto datos almacenados en caché incluían contratos firmados digitalmente y órdenes de compra, entre otros. Incluso había información de correos del propio gobierno de los EEUU.
Además de las críticas sobre la forma en la que Microsoft ha admitido la filtración, este hecho también plantea preguntas sobre las políticas de retención de datos de Microsoft. A menudo, los datos con años de antigüedad son más útiles para los delincuentes potenciales que para la empresa que los posee. En casos como estos, sin duda, la mejor praxis es destruir periódicamente los datos.
En caso de que una organización haya sido afectada en esta exposición de datos privados, los trabajadores deben estar atento a estafas, correos electrónicos de phishing u otras técnicas maliciosas.
Snowflake anuncia Arctic, su propio modelo grande de lenguaje para empresas
Los 12 principales cursos y certificaciones sobre IA generativa
Dropbox añade cifrado de extremo a extremo e integraciones con Teams y Copilot
Ayesa sufre un ataque de ransomware
«El uso que hacemos de la IA es único en el mercado»
La computación cuántica en la nube da un paso más para garantizar la seguridad y privacidad
Canva compra Affinity para convertirse en competidor de Adobe
Orange y MasMovil han cerrado su fusión en España: ya funcionan como una sola empresa
IA generativa como oportunidad para mejorar la sostenibilidad
Menos visibilidad, falta de control o soporte técnico limitado: cómo superan las empresas estos desafíos del teletrabajo
Salesforce amplía el despliegue de IA con la llegada de Einstein Copilot a Tableau
Amazon invierte 2.750 millones más en Anthropic
Snowflake anuncia Arctic, su propio modelo grande de lenguaje para empresas
IA generativa como oportunidad para mejorar la sostenibilidad
Canva compra Affinity para convertirse en competidor de Adobe
VISA introduce nueva IA para luchar contra el fraude digital en los pagos
Cisco Webex AI Assistant, colaboración con IA para la oficina y los contact center
Microsoft añade varias herramientas de seguridad y protección a Azure AI Studio
-
A FondoHace 3 díasCómo escoger la plataforma UEM más adecuada para tu empresa
-
NoticiasHace 5 díasLas tres principales recomendaciones para poner en marcha una estrategia de seguridad zero trust
-
A FondoHace 5 díasEmpresas con historia: Telefónica
-
NoticiasHace 5 díasMeta lanza Llama 3, la renovación de su modelo abierto de IA generativa