Seguridad

Los piratas informáticos explotaron la mesa de ayuda de Microsoft para una violación masiva de correo electrónico

Los piratas informáticos utilizaron el portal de atención al cliente de Microsoft para acceder a los correos electrónicos de los titulares de cuentas no corporativas en los servicios de correo web administrados por Microsoft, incluidos MSN.com, Hotmail.com y Outlook.com, entre el 1 de enero y el 28 de marzo.

Microsoft ha confirmado que las cuentas de un número «limitado» de clientes que utilizan sus servicios web se han visto comprometidas. Sin embargo, a medida que surgieron más detalles, la intrusión pareció ser más extensa de lo sugerido.

«Abordamos este esquema, que afecta a un subconjunto limitado de cuentas de consumidores, al deshabilitar las credenciales comprometidas y bloquear el acceso de los perpetradores», dijo la portavoz de Microsoft, Elissa Brown, a Ecommerce Times.

Microsoft envió notificaciones por correo electrónico a los usuarios afectados durante el fin de semana, informando que los «malos actores» pueden haber podido acceder a sus direcciones de correo electrónico, nombres de carpetas, líneas de asunto de correos electrónicos y el nombre de la dirección de correo electrónico por la que se contactó al usuario.

«Por precaución, también hemos aumentado nuestra detección y monitoreo de las cuentas afectadas», dijo Brown.

Los piratas informáticos no pueden ver el contenido de ningún correo electrónico o archivo adjunto, ni pueden ver las credenciales de inicio de sesión, como las contraseñas, según Microsoft.

Según la carta de Microsoft a los titulares de cuentas pirateadas, los piratas informáticos obtuvieron acceso al sistema al comprometer las credenciales de un agente de atención al cliente.

No está claro cuántas personas, cuentas y áreas geográficas se vieron afectadas. No se reveló si el empleado era un empleado de Microsoft o alguien que trabajaba para un proveedor de soporte externo. Microsoft tampoco explicó cómo se obtuvieron las credenciales del proxy o cómo descubrió la vulnerabilidad.

Sin embargo, el nivel de información divulgado por Microsoft sugiere que la infracción fue grave, observó Adnan Raja, vicepresidente de marketing de Microsoft. Red Atlántica.

«Es importante porque poco a poco se está volviendo más serio», dijo a E-Commerce Times.

Señaló que Microsoft solo reconoció esto cuando se enfrentó a capturas de pantalla.


La compañía aún no ha dicho cuántas cuentas se vieron afectadas, «por lo que esto sugiere una situación peor que la que se ha revelado», insistió Raja.

Surgen detalles preocupantes

En algunos casos, también se filtraron los contenidos de los correos electrónicos, incluidos calendarios, fechas de nacimiento e historial de inicio de sesión, señaló Steve Saunders, vicepresidente de auditoría interna. investigación de la escena del crimen.

«El ataque tuvo lugar en casi todo el primer trimestre de 2019. Una fuente externa dijo que el período de tiempo podría ser de hasta seis meses. Puede haber más detalles sobre este compromiso que aún no se han publicado», dijo a E. -Tiempos de Comercio».

Otro factor que hace que esta violación de correo electrónico sea preocupante es el acceso que obtuvieron los atacantes, a pesar de que involucró un porcentaje relativamente pequeño de cuentas de usuario, señala el analista senior de seguridad Marc Laliberte. Tecnología WatchGuard.

«Si bien la cantidad de cuentas afectadas puede ser limitada, el atacante básicamente tiene plenos derechos de visualización, lo cual es muy grave», dijo a E-Commerce Times.

Si bien los atacantes solo tienen acceso de solo lectura a la cuenta de la víctima, pueden ver los enlaces y tokens de restablecimiento de contraseña recientes de otros sitios. Estos enlaces suelen ser de corta duración, pero si un usuario ha restablecido recientemente su contraseña en algún lugar, debería hacerlo de nuevo, sugirió Laliberte.

vulnerabilidad de terceros

Si el agente de Microsoft comprometido está realmente afiliado a un proveedor de soporte, podría indicar una violación de seguridad más grave. Los proveedores externos representan un riesgo de seguridad para la seguridad de la red.

«Se ha demostrado una y otra vez que la atención al cliente es uno de los eslabones más débiles en las prácticas de verificación de identidad». hacker uno.

«Este es un gran problema que afecta a toda la industria, no solo a Microsoft», dijo a E-Commerce Times.

Las empresas a menudo emplean contratistas, agencias y empresas de terceros para limitar la responsabilidad. Sin embargo, según Zander, las operaciones de atención al cliente a menudo se consideran un trabajo pesado y pueden pasarse por alto por completo cuando se trata de seguridad.


«Los equipos de atención al cliente a menudo no son tan seguros como otros equipos de la organización», dijo. «Las empresas deben asegurarse de extender las mejores prácticas de gestión de identidad y seguridad a los terceros con los que trabajan».

Vidisha Suman dice que más de la mitad de las infracciones cibernéticas recientes fueron causadas por ataques de terceros en Kearney.

Ella le dijo a E-Commerce Times que será interesante ver cómo se hackearon las credenciales de cuenta/portal de servicio al cliente de Microsoft.

“Según mi experiencia al definir estrategias cibernéticas para las empresas, solo alrededor de un tercio de las empresas sabe qué proveedores tienen acceso a datos confidenciales, y menos del 20 % sabe realmente si un proveedor comparte datos con otros proveedores”, dijo Su Mann.

«Esta cadena de acceso puede verse comprometida fácilmente y el impacto puede ser transversal a la empresa», señaló. «Si el portal de servicio al cliente de Microsoft se vio realmente comprometido por el acceso/complementos de terceros, este podría haber sido uno de muchos de esos ataques en el último año que comprometieron millones de datos de clientes».

Suman agregó que los principales reguladores mundiales ya están revisando los riesgos de terceros y buscando formas de garantizar la responsabilidad.

¿qué hacer?

En una carta a los titulares de cuentas de correo electrónico afectados, Microsoft les aconsejó que cambiaran sus contraseñas de inicio de sesión. La compañía también advirtió que es posible que vean más correos electrónicos de phishing o spam como resultado de esta infracción.

La empresa aconseja a los usuarios de correo electrónico que estén atentos a los correos electrónicos recibidos de nombres de dominio engañosos, o cualquier correo electrónico que solicite información personal o pago, así como cualquier solicitud no solicitada de fuentes no confiables.

Sanders de CSI advierte que los usuarios directamente afectados también deben considerar cualquier información confidencial enviada a través de Outlook, etc. como comprometida y considerar tomar las medidas apropiadas.

«Este incidente es un buen recordatorio de que los datos confidenciales no deben enviarse por correo electrónico sin cifrar», dijo. «Si bien la autenticación de dos factores puede no evitar que los usuarios se vean comprometidos en este incidente, también es un buen recordatorio de que todos los usuarios deben tener esta función habilitada».

Este ataque se dirige tanto a la infraestructura del sistema back-end como a la experiencia real del usuario final.Esta situación es diferente de otros vectores de ataque, señaló el director ejecutivo Phil Cardone. radio.

Explicó que si bien una infracción típica puede afectar las interacciones diarias entre personas y organizaciones, este tipo de ataque podría afectar la integridad estructural de la infraestructura del sistema Microsoft Office 365.

Aún así, Cardone le dijo al E-Commerce Times: «Podría ser peor de lo que es. Asegúrese de que su plataforma sea segura».

LEER  Nuevo portal de Facebook: más formas de seguir

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba