افشای اطلاعات ۶۵ هزار کاربر مایکروسافت

افشای اطلاعات ۶۵ هزار کاربر مایکروسافت
تاریخ انتشار : ۰۱ آبان ۱۴۰۱

در روز‌های گذشته ۲٫۴ ترابایت از داده‌های حساس کاربران مایکروسافت افشا شده است که در پی آن انتقادات و نگرانی‌های زیادی را علیه این شرکت غول فناوری به همراه داشته است.

به گزارش گرداب، شرکت امنیتی SOCRadar چند روز قبل برای اولین‌بار خبر فاش‌شدن داده‌های مشتریان مایکروسافت را منتشر کرد و در پی آن سرویس‌های آنلاین مایکروسافت به دلیل وجود نقص امنیتی به فاش‌شدن ۲.۴ ترابایت داده‌ی حساس شامل فاکتور‌ها و قرارداده‌های امضاشده، اطلاعات تماس و ایمیل‌های ۶۵ هزار مشتری فعلی این شرکت در پنج سال اخیر دچار شدند.

اطلاعات فاش‌شده شامل داده‌هایی از سال ۲۰۱۷ تا آگوست ۲۰۲۲ است که اسناد کاری، اطلاعات کاربری، سفارش‌ها و پیشنهاد‌ها محصول، جزئیات پروژه، اطلاعات شخصی و سند‌های مرتبط با مالکیت معنوی نیز میان آن‌ها به‌چشم می‌خورد. SOCRadar می‌گوید این اطلاعات درنتیجه‌ی پیکربندی نادرست سیستم ذخیره‌سازی Azure Blob به‌دست آمده‌اند.

شرکت مایکروسافت چند روز پیش، خبر افشای داده‌های کاربران خود را تأیید و به‌صورتی شفاف‌سازی کرد؛ بطوری که طبق گزارشات این شرکت فناوری برخی از این داده‌ها شامل اطلاعات تکراری با ارجاعات متعدد به ایمیل‌ها و پروژه‌ها و کاربران یکسان است.

مایکروسافت (Microsoft) یک شرکت چندملیتی آمریکایی است که دفتر مرکزی آن در شهر ردموند، ایالت واشینگتن قرار دارد. این شرکت فناوری که در سال ۲۰۱۶، رتبه نخست در فهرست بزرگترین شرکت‌های نرم‌افزاری بود، و به انتشار کتاب، تولید محصولات چندرسانه‌ای و ارائه خدمات پست الکترونیکی نیز می‌پردازد. ارزش مایکروسافت در سال ۲۰۱۹ از مرز ۱ تریلیون دلار گذشت تا در کنار شرکت‌های آمازون و اپل تنها شرکت‌هایی باشند که ارزششان از ۱ تریلیون گذشته‌است.

این شرکت چندملیتی آمریکایی برای توصیف فاش‌شدن این اطلاعات عبارت «مسئله» را عنوان کرد و اظهار داشت:

این مسئله به‌دلیل پیکربندی اشتباه و ناخواسته به‌وجود آمده است که البته چنین سیستمی در سرتاسر اکوسیستم مایکروسافت استفاده نمی‌شود و درنتیجه نمی‌توان آن را آسیب‌پذیری امنیتی به‌حساب آورد.

پست مایکروسافت درباره‌ی فاش‌شدن داده‌های مشتریان این شرکت و در راستای شفاف‌سازی اتفاق رخ داده، شامل جزئیات بسیار مهمی مثل شرح دقیق‌تر از نوع اطلاعات به بیرون درز‌کرده و تعداد مشتریان کنونی تحت‌تأثیر قرارگرفته این شرکت است. علاوه‌براین، مایکروسافت شرکت SOCRadar را به‌دلیل ارائه‌ی آمار نادرست و قراردادن موتور جست‌وجویی که افراد می‌توانند با استفاده از آن از فاش‌شدن اطلاعات خود مطلع شوند، سرزنش کرده است.

این شرکت فناوری ازطریق مرکز پیام‌های سیستم ارتباطی داخلی خود که برای برقراری ارتباط میان مدیران از آن استفاده می‌کند، با نهاد‌های آسیب‌دیده ارتباط گرفت؛ البته همه‌ی مدیران توانایی دسترسی به ابزار مذکور را ندارند و این احتمال وجود دارد که برخی از اعلان‌ها دیده نشده باشند.

«کوین بومونت»، محقق امنیتی، در این باره در توییتر خود عنوان کرد:

امتناع مایکروسافت برای اطلاع‌دادن به مشتریانی که داده‌های آن‌ها درمعرض دید عموم قرار گرفته است و اطلاع ندادن به سازمان‌های تنظیم‌کننده که الزامی قانونی محسوب می‌شود، نشانه‌های اشتباهی بزرگ است.

وی در‌ادامه اسنادی را منتشر کرد که نشان می‌دهد داده‌های فاش‌شده از ماه‌ها قبل ازطریق Grayhat Watfare دردسترس عموم بوده است و پایگاه داده‌های افشاشده در بسته‌های عمومی جمع‌آوری و ذخیره شده‌اند.

داده‌های ذخیره‌شده شامل قرارداد‌های امضاشده‌ی دیجیتالی و سفارش‌های خرید است. این محقق امنیتی می‌گوید که سایر اطلاعات فاش‌شده شامل ایمیل‌های دولتی ایالات متحده، توضیحاتی درباره‌ی پروژه‌های آفیس ۳۶۵، پول، داده‌های مربوط به زیرساخت‌های ملی حیاتی (CNI) و... است.

علاوه‌بر انتقاد به روش مایکروسافت در برخورد با مشکل فاش‌شدن اطلاعات، سؤالاتی هم درباره‌ی سیاست‌های این شرکت در حفظ اطلاعات مطرح شده است. داده‌هایی که عمر آن‌ها به چند سال می‌رسد، اغلب برای مجرمان مفید هستند و بهترین راهکار در چنین شرایطی، حذف دوره‌ای اطلاعات است.

مایکروسافت همواره هدف نقد‌های مختلفی از جمله انحصارطلبی بوده، که موجب تشکیل دادگاه‌های قضایی بسیاری علیه آن، به علت تجاوز از قوانین انحصار، در وزارت دادگستری ایالات متحده آمریکا و کمیسیون اروپا شده‌است