Un terrible fallo de seguridad de Microsoft ha expuesto una gran cantidad de información de sus empleados y de la propia compañía

Un simple olvido a la hora de habilitar la protección con contraseña en un servidor podría haber tenido importantes consecuencias en materia de seguridad para la compañía de Redmond. Un escenario que no es nuevo para Microsoft.

Un grupo de investigadores especializados en ciberseguridad han descubierto recientemente un importante fallo de seguridad en Microsoft. El gigante tecnológico contaba con un servidor de almacenamiento público alojado en Azure que no estaba protegido con ninguna contraseña. Por lo tanto, cualquier usuario podía acceder a él a través de internet. En este servidor, se almacenaba información interna que tenía relación con el motor de búsqueda Bing de Microsoft. En él, podíamos encontrar códigos, scripts y archivos de configuración que, a su vez, contenían claves y credenciales que eran utilizadas por los empleados de Microsoft para poder acceder a bases de datos y sistemas internos de la compañía. Una información lo suficientemente sensible como para que hubiera tenido una mayor consideración en materia de seguridad por parte de la big tech.

Potenciales fugas de datos

Tal y como afirma el medio TechCrunch, el acceso a esta información se podía traducir en un potencial riesgo por parte de grupos de ciberdelincuentes de poder acceder, y robar, conjuntos de datos más importantes. Hasta comprometer, en último término, los servicios en uso por parte de la compañía.

Se desconoce el tiempo que este servidor ha estado visible de manera pública sin disponer de ningún medio que limitara su acceso. Sin embargo, el medio citado previamente sí que afirma que los investigadores comunicaron este suceso el 6 de febrero y la solución de Microsoft no llegó hasta un mes más tarde, el 5 de marzo. Por lo que los datos podrían haber estado expuestos durante una gran cantidad de tiempo sin contar con ninguna medida de seguridad. Sin embargo, no se han demostrado evidencias sobre posibles accesos no autorizados y por parte de Microsoft no ha existido ningún tipo de comunicación al respecto que permita obtener una mayor información al respecto.

Más sucesos

No ha sido la primera vez que Microsoft se ha tenido que enfrentar a este tipo de desagradables situaciones relacionadas con su seguridad. En el año 2022, también se descubrió que los empleados de Microsoft estaban exponiendo todos los datos de sus inicios de sesión en los propios sistemas de la compañía en GitHub.

Sin embargo, uno de los acontecimientos más importantes se produjo hace apenas unos meses. Microsoft confirmó que un grupo de hackers rusos lograron acceder a información existente en su código fuente y en sus sistemas internos. Pese a que la propia tecnológica afirmó que no se había comprometido en este ataque ninguno de los sistemas que dan servicio al público general, no aportó más información para conocer cómo estos cuál era el tipo de código al que habían tenido acceso.

Sí que se conoce que los ciberdelincuentes habrían accedido a cuentas de correo corporativas de altos ejecutivos que no contaban con ningún proceso de verificación en dos pasos y, una vez conseguido el acceso, habrían podido acceder a repositorios de código fuente y sistemas internos de la empresa.

Fuente: TechCrunch | adslzone