Microsoft exhorte l’entreprise de sécurité à exagérer l’impact de la mauvaise configuration de BlueBleed

Il y a plus d’un an, nous avons appris que les clients Microsoft qui utilisaient des configurations par défaut pour les portails Power Apps finissaient par exposer des millions d’enregistrements internes. Dans le même ordre d’idées, le géant de la technologie basé à Redmond a émis un avertissement concernant une mauvaise configuration similaire qui a également exposé les données des clients.

Le Microsoft Security Response Center (MSRC) a publié un livre blanc expliquant qu’il avait été informé du problème, surnommé « BlueBleed » par les chercheurs en sécurité de SOCRadar le 24 septembre. clients et partenaires autorisés sont accessibles au public. Les noms, les adresses e-mail, le contenu des e-mails, le nom de l’entreprise, les numéros de téléphone et les pièces jointes étaient en jeu.

Bien que Microsoft ait reconnu le rapport SOCRadar , il a exprimé sa déception face à la réponse de l’entreprise de sécurité à la divulgation. Il indique que les chiffres du rapport SOCRadar étaient exagérés, la firme l’appelant « l’une des plus grandes fuites B2B de ces dernières années » qui a exposé les données de 65 000 organisations dans 111 pays. Microsoft affirme qu’une grande partie des données en question n’étaient que des doublons et que la portée de cette mauvaise configuration a été exagérée par SOCRadar. Il a déploré que l’entreprise n’ait pas mis à jour son article de blog même après que le géant de la technologie Redmond se soit plaint.

En outre, Microsoft a demandé à SOCRadar de faire la publicité de son propre outil de détection des menaces, affirmant qu’il « ne sert pas les intérêts de confidentialité ou de sécurité des clients et les expose potentiellement à des risques inutiles ». Au lieu de cela, il a mis en avant ses propres recommandations pour les entreprises de sécurité qui travaillent sur des outils similaires :

• mettre en place un système de vérification raisonnable pour s’assurer que l’utilisateur est bien celui qu’il prétend être ;
• suivre les principes de minimisation des données, en limitant les résultats fournis uniquement aux informations relatives uniquement à cet utilisateur vérifié ;
• si cette société n’est pas en mesure de déterminer avec une certitude raisonnable quels clients ont affecté les données, ne divulguez pas à cet utilisateur les informations (y compris les métadonnées/noms de fichiers) qui pourraient appartenir à un autre client.

Microsoft a expliqué que malgré la possibilité d’un accès non autorisé à la corbeille, son enquête a montré qu’il n’y avait aucune activité de ce type sur le terminal. Malgré cela, le problème a déjà été résolu et la société a contacté les clients concernés.