La exposición de contraseñas internas por parte de empleados de Microsoft es un recordatorio de la necesidad de implementar medidas de seguridad sólidas en todas las organizaciones, independientemente de su tamaño o industria. Las contraseñas son la primera línea de defensa contra ciberataques, y su manejo irresponsable puede tener consecuencias graves.
Los investigadores de seguridad Can Yoleri, Murat Özfidan y Egemen Koçhisarlı, pertenecientes a SOCRadar, una compañía especializada en ciberseguridad que colabora con organizaciones para identificar debilidades de seguridad, encontraron un servidor de almacenamiento abierto y público alojado en el servicio en la nube Azure de Microsoft, que contenía información interna vinculada al motor de búsqueda Bing de Microsoft.
Dentro del servidor de almacenamiento de Azure, se encontraban alojados código, guiones y archivos de configuración que incluían contraseñas, claves y credenciales utilizadas por los empleados de Microsoft para acceder a otras bases de datos y sistemas internos.
Sin embargo, el servidor de almacenamiento no estaba protegido con contraseña, permitiendo el acceso libre a cualquier persona en internet.
Yoleri comentó a TechCrunch que los datos expuestos podrían potencialmente ayudar a actores maliciosos a identificar o acceder a otros lugares donde Microsoft almacena sus archivos internos. La identificación de estas ubicaciones de almacenamiento «podría resultar en filtraciones de datos más significativas y posiblemente comprometer los servicios utilizados», afirmó Yoleri.
Los investigadores notificaron a Microsoft sobre la vulnerabilidad de seguridad el 6 de febrero, y Microsoft aseguró los archivos comprometidos el 5 de marzo.
No se ha divulgado por cuánto tiempo estuvo expuesto el servidor en la nube a internet, ni si alguien además de SOCRadar descubrió los datos expuestos. Al ser contactados por correo electrónico, un portavoz de Microsoft no ofreció comentarios al momento de la publicación. Microsoft no ha indicado si ha restablecido o cambiado alguna de las credenciales internas expuestas.
Este incidente es el más reciente fallo de seguridad en Microsoft, ya que la compañía intenta reconstruir la confianza con sus clientes tras una serie de incidentes de seguridad en la nube en los últimos años. En un fallo de seguridad similar el año pasado, investigadores descubrieron que los empleados de Microsoft estaban exponiendo sus propias credenciales de red corporativa en código publicado en GitHub.
Microsoft también fue criticado el año pasado después de admitir que no sabía cómo hackers respaldados por China robaron una clave de firma de correo electrónico interna que permitió a los hackers acceso amplio a buzones alojados por Microsoft de altos funcionarios del gobierno de EE. UU. Un consejo independiente de expertos en ciberseguridad, encargado de investigar la brecha de correo electrónico, escribió en su informe, publicado la semana pasada, que los hackers tuvieron éxito debido a una «cascada de fallos de seguridad en Microsoft».
En marzo, Microsoft anunció que continúa contrarrestando un ataque cibernético en curso que permitió a hackers respaldados por el estado ruso robar partes del código fuente de la compañía y correos electrónicos internos de ejecutivos corporativos de Microsoft.
