„Błąd w konfiguracji”. Microsoft przypadkowo udostępniał bez uwierzytelnienia dane (w tym pliki) swoich potencjalnych klientów

Oświadczenie Microsoftu dostępne jest tutaj.

Analitycy bezpieczeństwa z SOCRadar 24 września 2022r. poinformowali firmę Microsoft o błędnie skonfigurowanym endpoincie. Ta błędna konfiguracja powodowała możliwość nieuwierzytelnionego dostępu do niektórych danych transakcji biznesowych odpowiadających interakcjom między firmą Microsoft a potencjalnymi klientami (…) [tłumaczenie sekurak]

Security researchers at SOCRadar informed Microsoft on September 24, 2022, of a misconfigured Microsoft endpoint. This misconfiguration resulted in the potential for unauthenticated access to some business transaction data corresponding to interactions between Microsoft and prospective customers, such as the planning or potential implementation and provisioning of Microsoft services.

Gigant dodaje, że wewnętrzny audyt nie wykazał dostępu do tych danych przez osoby trzecie.

The business transaction data included names, email addresses, email content, company name, and phone numbers, and may have included attached files relating to business between a customer and Microsoft or an authorized Microsoft partner. 

Szczególnie ciekawa wydaje się być wzmianka o plikach załączanych przez klientów (praktycznie może tam być przecież wszystko).

~ms