El 14 de abril conocimos, a través de
la plataforma Reddit, una captura de pantalla de un usuario que avisaba de
haber recibido un e-mail de Microsoft alertando de que atacantes desconocidos
habían sido capaces de acceder a alguna información de su cuenta de Outlook.
Al parecer, la brecha tuvo lugar en el
primer trimestre del año, entre el día 1 de Enero y el 28 de Marzo, tal y como
muestra este usuario en Reddit mediante su captura y como es corroborado por
más usuarios de la plataforma.
Según el e-mail por parte de Microsoft
en el que se notificaba la incidencia, que podemos ver en la foto adjunta, los
atacantes comprometieron las credenciales de la cuenta de uno de los agentes de
soporte de Microsoft y la utilizaron de manera no autorizada para acceder a
alguna información relacionada con las cuentas afectadas. Sin embargo, parece
ser que el contenido o los adjuntos de los e-mails no fue objeto de acceso no
autorizado.
Según lo conocido hasta ahora gracias
al e-mail informativo, la información a la que un agente de soporte de
Microsoft tiene acceso – y, consecuentemente, la información a la que un
atacante pudo tener acceso – está limitada a direcciones de correo, nombres de
ficheros, asuntos del correo y otras cuentas de correo con las que la víctima
se hubiera comunicado.
Un aspecto reseñable del incidente es
que, dado que los atacantes disponían de una ventana alternativa, en este caso
el acceso a cuentas de soporte, para acceder parcialmente a información de
cuentas sin tan siquiera tener que loguear en ellas. Esto implicaría que la
seguridad basada en la autenticación de doble factor, no habría servido en este
caso para mitigar la brecha.
Actualmente no existe información
explícita y clara sobre cómo los atacantes fueron capaces de comprometer al
trabajador de Microsoft, pero la compañía tecnológica confirmó que han revocado
los credenciales robados y comenzado a notificar a todos los clientes
afectados. Sin embargo, no han querido hacer público el número total de cuentas
afectadas por el incidente.
A pesar de que la brecha no afectó
directamente a los credenciales de acceso de las cuentas de correo, Microsoft
recomendó a los usuarios que considerasen encarecidamente aplicar el reseteo a
todas sus contraseñas de servicios Microsoft, como medida preventiva.
Microsoft acaba su e-mail con una
disculpa y asegurando que está tomando medidas para atajar convenientemente
este nuevo incidente de seguridad:
“Microsoft lamenta cualquier inconveniente
causado por este asunto. Por favor, esté seguro de que Microsoft se toma la
protección de datos muy en serio y ha involucrado a sus equipos internos de
seguridad y privacidad en la investigación y resolución de este incidente,
además de en un proceso de bastionado y fortalecimiento de nuestros sistemas y
procesos para prevenir que esto vuelva a ocurrir.”
Fuente: Hispasec