マイクロソフト、セキュリティ会社に BlueBleed の設定ミスの影響を誇張するよう要請

1 年以上前に、Power Apps ポータルの既定の構成を使用していた Microsoft のお客様が、最終的に数百万の内部レコードを公開したことを知りました。同様に、レドモンドに本拠を置くハイテク大手は、顧客データも公開した同様の構成ミスについて警告を発しました.

マイクロソフト セキュリティ レスポンス センター (MSRC)は、9 月 24 日に SOCRadar のセキュリティ研究者によって「BlueBleed」と呼ばれるこの問題について通知を受けたことを説明するホワイト ペーパーを公開しました。顧客と認定パートナーは公開されています。名前、電子メール アドレス、電子メールの内容、会社名、電話番号、添付ファイルが危険にさらされました。

Microsoft は SOCRadar の報告を認めたものの、この開示に対するセキュリティ会社の対応に失望を表明しました。SOCRadar レポートの数字は誇張されており、111 か国の 65,000 の組織からのデータが流出した「近年最大の B2B 漏洩の 1 つ」と同社は呼んでいます。Microsoft は、問題のデータの多くは単なる重複であり、この設定ミスの範囲は SOCRadar によって誇張されていると主張しています。彼は、テクノロジー大手のレドモンドが苦情を申し立てた後も、同社がブログ投稿を更新しなかったことを嘆いた.

さらに、Microsoft は SOCRadar に独自の脅威検出ツールを宣伝するよう求め、「顧客のプライバシーやセキュリティ上の利益に役立たず、不必要なリスクにさらす可能性がある」と述べました。代わりに、同様のツールに取り組んでいるセキュリティ会社に対する彼自身の推奨事項を強調しました。

• ユーザーが本人であることを確認するための合理的な検証システムを実装します。
• データ最小化の原則に従い、提供される結果をこの検証済みユーザーのみに関連する情報のみに限定します。
• その会社が、データに影響を与えた顧客を合理的な確実性で判断できない場合、別の顧客に属する可能性のあるユーザー情報 (メタデータ/ファイル名を含む) を開示しないでください。

マイクロソフトは、ごみ箱への不正アクセスの可能性があるにもかかわらず、調査の結果、エンドポイントでそのような活動はなかったと説明しました。それにもかかわらず、問題はすでに修正されており、同社は影響を受けた顧客に連絡を取りました.