Microsoft confirma vazamento de dados do Bing e da Cortana em ciberataque
Por Felipe Demartini • Editado por Claudio Yuge | •
A Microsoft confirmou na noite desta terça-feira (22) o vazamento dos códigos-fonte de tecnologias como Bing e Cortana. 37 GB de informações das plataformas relacionadas às pesquisas, assistência de voz e mapas foram liberadas na internet no domingo (20) pelo grupo Lapsus a partir do comprometimento de uma conta de funcionário da companhia de Redmond.
- Desinstale agora! Este app para Android roubou senhas de mais de 100 mil vítimas
- Conti | Vazam mais códigos-fonte de grande quadrilha de ransomware
No comunicado oficial, a Microsoft afirma que o perfil do colaborador fazia parte de uma plataforma de desenvolvimento de softwares — que seria a Azure DevOps, de acordo com os criminosos. Por conta disso, parte dos códigos-fonte das soluções acabaram sendo acessadas pelo bando e liberadas em um arquivo de torrent por meio de um grupo no Telegram usado por eles para divulgações de novos alvos, recrutamento de interessados e vazamento de dados.
De acordo com a companhia, o comprometimento aconteceu em uma única conta e não envolve dados de clientes das soluções da empresa ou arquivos sensíveis da própria companhia ou de seus parceiros. Apesar de os códigos-fonte serem considerados sigilosos, a Microsoft acredita que a sua disponibilização não deve aumentar o risco de ataques contra sua infraestrutura e a dos que utilizam as tecnologias no dia a dia, com times de segurança atuando rapidamente para fechar o acesso indevido e impedir novas atividades.
As informações batem com o que foi passado pelo próprio Lapsus no domingo, com a publicação parcial de códigos-fonte dos serviços da Microsoft. No volume de 37 GB estão 90% dos códigos relacionados ao Bing Mapas e 45% dos elementos relacionados à Cortana e ao buscador Bing.
De olho no Lapsus
A companhia ainda foi além, dizendo estar rastreando as atividades do grupo Lapsus e indicando o foco preferencial dos cibercriminosos na obtenção de credenciais de acesso que permitam intrusão inicial a redes corporativas. Foi assim que a invasão da Microsoft aconteceu, mas a empresa não comentou como os responsáveis obtiveram o acesso, se por meio de ataques de phishing, bancos de dados vazados, uso de malware, pagamentos a colaboradores ou outros métodos.
Entretanto, outros métodos já foram utilizados pelo grupo em intrusões anteriores. A Microsoft fala em incidentes envolvendo a clonagem de cartões SIM, para recebimento de códigos de autenticação em duas etapas, e o uso de vulnerabilidades em plataformas de infraestrutura e desenvolvimento de software. Uma vez na rede, a busca passa a ser por contas com o maior nível de administração possível, que permitam a exfiltração de dados e a obtenção de informações confidenciais.
A Microsoft aproveita o relatório sobre a própria brecha para dar dicas de segurança às corporações contra os ataques do Lapsus. As recomendações envolvem o uso de protocolos fortes de autenticação em múltiplas etapas e maior monitoramento de contas conectadas à nuvem, assim como a adoção de processos de conscientização de colaboradores contra ataques de engenharia social e processos que evitem acessos não autorizados aos perfis de usuários.
Lapsus também vazou dados da LG e de empresa de autenticação
A Microsoft não foi a única empresa comprometida pelo Lapsus neste final de semana. Com horas de diferença, o grupo cibercriminoso também liberou um documento com dezenas de milhares de entradas pertencentes à LG, supostamente com contas de funcionários em formato hash, e também screenshots de sistemas internos e plataformas de configuração da Okta, empresa de segurança e autenticação de dados que presta serviços a milhares de organizações, governos e universidades ao redor do mundo.
A companhia minimizou o incidente, afirmando se tratar do reflexo de uma intrusão ocorrida em janeiro deste ano. Também na noite desta segunda (22), a Okta forneceu uma atualização sobre o caso, afirmando que apenas 375 clientes, aproximadamente 2,5% de sua base, foram impactados pelo incidente envolvendo o Lapsus. Nenhum deles, afirma a companhia, precisa tomar atitude alguma sobre o assunto.
Pelo Telegram, o grupo Lapsus refutou as alegações, afirmando que o acesso aconteceu por meio de um portal que permitia até resetar as senhas e desligar a autenticação em múltiplos fatores de 95% dos clientes da companhia. O bando também indica más práticas de proteção de senhas e dados no Slack da empresa de autenticação, com direito a senhas trocadas entre os funcionários diretamente pelo chat, assim como a ausência de contato com empresas de segurança digital que relataram falhas em seus sistemas.
Já no caso da LG, ainda são poucas as informações disponíveis, com a ideia sendo que o volume de 88 mil entradas vazados pelo Lapsus corresponda a logins de funcionários e contas registradas em serviços da marca. Apenas as identificações nominais dos atingidos pode ser vista no arquivo, com o grupo cibercriminoso prometendo vazar mais informações da infraestrutura da companhia em breve.
Por enquanto, porém, a LG não se pronunciou sobre o assunto. O Canaltech entrou em contato com a empresa e aguarda um retorno oficial.