Microsoft si è recentemente resa protagonista di una figuraccia clamorosa. Parliamo di una vulnerabilità critica della sicurezza che ha esposto password e credenziali di migliaia di impiegati dell'azienda. Tale esposizione ha sollevato serie preoccupazioni riguardo la sicurezza in un'azienda leader del settore come Microsoft che, in teoria, dovrebbe dare il buon esempio.
Secondo un'indagine svolta da Techcrunch, i ricercatori di sicurezza di SOCRadar, un'organizzazione specializzata nell'identificazione delle vulnerabilità di sicurezza aziendale, hanno scoperto che un server ospitato su Azure, correlato al motore di ricerca Bing di Microsoft, era rimasto accessibile senza alcuna protezione tramite password. Ciò significa che chiunque avesse accesso ad Internet poteva consultare liberamente i dati sensibili. Il server in questione conteneva una gamma diversificata di credenziali di sicurezza utilizzate dagli impiegati Microsoft per accedere ai sistemi interni, le quali erano incluse all'interno di script, codici e file di configurazione.
Quando si commettono errori simili non c'è antivirus che tenga. Le conseguenze di tale esposizione avrebbero potuto causare danni ingenti, conducendo a violazioni più ampie di dati e potenzialmente compromettendo i servizi impiegati. Can Yoleri, uno dei ricercatori di sicurezza coinvolti nella scoperta, ha condiviso con Techcrunch la sua preoccupazione sull'eventualità che hacker potessero sfruttare i dati esposti per individuare e accedere ad altre aree in cui Microsoft conserva dati interni, amplificando così il rischio di fughe di dati significative e compromettendo i servizi utilizzati.
Microsoft è stata immediatamente informata della vulnerabilità il 6 febbraio e ha agito prontamente per risolvere il problema entro il 5 marzo. Resta tuttavia incerto se soggetti esterni abbiano avuto accesso al server esposto in tale lasso di tempo. Sono state avviate richieste di commento a Microsoft, con l'intenzione di aggiornare le informazioni al ricevimento di risposte ufficiali.
In risposta a questi eventi, si segnala che Microsoft ha immediatamente avviato un processo di rafforzamento delle proprie pratiche di sicurezza.
In precedenza, un report del US Cyber Safety Review Board ha criticato Microsoft per non aver prevenuto una violazione nel suo software Exchange Online, permettendo a un gruppo di hacker cinesi di accedere ai sistemi di posta elettronica del governo statunitense nel 2023, accusando l'azienda di aver trascurato gli investimenti in sicurezza e una gestione dei rischi rigorosa. Altri incidenti, come quello del 2022 in cui credenziali di login sensibili per i sistemi Microsoft sono state caricate dai propri dipendenti su GitHub, sottolineano ulteriormente la necessità di un impegno più incisivo nell'ambito della sicurezza informatica.
La domanda da porsi è: se un'azienda come Microsoft trascura in modo così plateale la sicurezza dei dati dei suoi dipendenti, cosa accade nelle piccole e grandi aziende che operano al di fuori del settore informatico?
C'è da preoccuparsi.