« Cette mauvaise configuration a entraîné la possibilité d’un accès non authentifié à certaines données de transactions commerciales correspondant à des interactions entre Microsoft et des clients potentiels, telles que la planification ou la mise en œuvre potentielle et le provisionnement de services Microsoft », a déclaré Microsoft dans un avis d’alerte.
Il s’agit de 2,4 téraoctets de données, notamment des factures, des commandes de produits, des documents signés par des clients et des informations sur l’écosystème des partenaires.
Microsoft a contesté l’étendue du problème, déclarant que les données comprenaient des noms, des adresses électroniques, le contenu des courriels, le nom de l’entreprise et des numéros de téléphone, ainsi que des fichiers joints relatifs aux affaires « entre un client et Microsoft ou un partenaire autorisé de Microsoft ».
Dans un billet de suivi publié jeudi, il a comparé le moteur de recherche BlueBleed au service de notification des violations de données « Have I Been Pwned », qui permet aux organisations de rechercher si leurs données ont été exposées lors d’une fuite de données dans le nuage.
« L’incapacité de Microsoft à dire à ses clients quelles données ont été dérobées et le fait qu’elle n’ait apparemment pas prévenu les autorités de régulation – ce qui est pourtant une obligation légale – sont les signes d’une réaction bâclée », a tweeté le chercheur en sécurité Kevin Beaumont.
« Bien que certaines des données qui ont pu être consultées semblent anodines, si SOCRadar a raison sur ce qui a été exposé, il pourrait s’agir d’informations sensibles sur l’infrastructure et la configuration du réseau de clients potentiels », a déclaré Erich Kron, responsable de la sensibilisation à la sécurité chez KnowBe4, dans un courriel adressé à The Hacker News.