24 сентября компания SOCRadar, специализирующаяся на анализе киберугроз, уведомила Microsoft о том, что один из ее серверов хранилища BLOB-объектов Azure был неправильно настроен, что привело к утечке информации о клиентах. Теперь, почти месяц спустя, Microsoft и SOCRadar опубликовали сообщения в блогах, предупреждающие предприятия о том, что некоторые из их данных о транзакциях и сообщениях с Microsoft и авторизованными партнерами Microsoft могут быть раскрыты в результате этой утечки.

По данным SOCRadar, 2,4 ТБ данных относящихся к более чем 65 000 компаний из 111 стран, стали общедоступными в результате неправильной настройки сервера. На сегодняшний день анализ фирмы по кибербезопасности обнаружил более 335 000 электронных писем, 133 000 проектов и 548 000 пользователей, представленных в этих данных. Однако Microsoft оспаривает эти цифры, заявляя в своем блоге, что "SOCRadar сильно преувеличил масштабы этой проблемы". Далее в сообщении в блоге говорится, что открытая база данных содержит дублирующуюся информацию и повторяющиеся ссылки, подразумевая, что цифры SOCRadar неточно отражают количество уникальных электронных писем, проектов и пользователей, раскрытых в результате этой утечки.

В сообщении в блоге Microsoft также выражается разочарование решением SOCRadar сделать общедоступным инструмент поиска, который позволяет любому проверить, появляется ли домен в открытых данных. Microsoft утверждает, что SOCRadar должен скрыть инструмент поиска за какой-либо формой системы проверки личности, требующей, чтобы пользователи подтверждали свою связь с организацией, прежде чем вводить ее доменное имя в инструмент и получать результат.

Однако SOCRadar выступил против критики Microsoft, дав понять, что у них нет копии данных. Вместо этого инструмент поиска выполняет поиск доменных имен в метаданных, информирует пользователей о том, было ли конкретное доменное имя зафиксировано в утечке, и направляет пользователей в Центр реагирования на вопросы безопасности Майкрософт (MSRC), если они хотят узнать больше об открытых данных, связанных с уязвимостью конкретной компании.

Microsoft, со своей стороны, не особенно охотно информирует компании о точном содержании раскрытых данных. Один из пользователей Twitter поделился уведомлением, полученным его компанией от Microsoft, в котором говорилось: "Мы установили, что ваша организация попала в сферу действия этого инцидента. Затронутые типы данных, которые могли быть задействованы, включали имена, адреса электронной почты, название компании, адрес или номера телефонов. Мы не можем предоставить конкретные данные, затронутые этой проблемой". В итоге пользователь открыл тикет в службу поддержки Microsoft в надежде получить больше информации о затронутых данных. Однако после некоторого обсуждения служба поддержки Microsoft автоматически заархивировала тикет, заявив, что "другой доступной информации по запросу нет".

Согласно SOCRadar, открытые файлы включают документы о выполнении работ (SoW), счета-фактуры, заказы на продукты, предложения продуктов, детали проекта, подписанные документы клиентов, электронные письма клиентов, прайс-лист продуктов клиентов и запасы клиентов, внутренние комментарии для клиентов, стратегии продаж, документы активов клиентов и сведения об экосистеме партнеров. Эти файлы охватывают период с 2017 года по август 2022 года. Исследователь кибербезопасности Кевин Бьюмонт сообщает, что база данных была доступна и публично проиндексирована в течение нескольких месяцев, а кэшированные версии с возможностью поиска доступны в открытом Интернете для всеобщего обозрения. Возможно, Microsoft исправила конфигурацию сервера, но кошмар для организаций, пострадавших от этой утечки, скорее всего, только начинается.