En marzo, Microsoft confirmó que hackers del gobierno ruso, conocidos como Midnight Blizzard (o APT29), habían entrado en sus sistemas con el objetivo de robar varios tipos de información, incluyendo datos de clientes de Microsoft.
Meses después, Microsoft aún está en proceso de notificar a sus clientes afectados, y parece que el proceso no va muy bien. Expertos critican a Microsoft por enviar correos que parecen spam o incluso intentos de phishing.
Kevin Beaumont, ex empleado de Microsoft y ahora investigador de ciberseguridad que sigue de cerca a la empresa, ha estado advirtiendo a las compañías que estén atentas a estos correos de Microsoft.
“Microsoft sufrió una violación por parte de Rusia que afectó datos de clientes y no siguió el proceso normal de notificación. Las alertas no están en el portal, en su lugar enviaron correos a los administradores. Estos correos pueden ir a spam, y las cuentas de administrador se supone que son seguras y sin correo. Tampoco han informado a las organizaciones a través de los gerentes de cuenta. Deben revisar todos los correos desde junio. Es un problema generalizado”, escribió Beaumont en su cuenta de LinkedIn.
Uno de los principales problemas con el correo de notificación de Microsoft es que incluye un “enlace seguro” a un dominio que no parece tener conexión con Microsoft. En su lugar, el correo incluye un enlace a: “purviewcustomer.powerappsportals.com”.
“Básicamente, la alerta crítica parece un ataque de phishing”, escribió alguien en X.
Ese enlace ha sido enviado a urlscan.io, un sitio que ayuda a detectar enlaces maliciosos, más de cien veces. Esto sugiere que hay muchas organizaciones que vieron ese correo oficial legítimo de Microsoft y pensaron que era malicioso.
Los envíos a urlscan.io también sugieren que hay al menos cien empresas afectadas por el hackeo del gobierno ruso a Microsoft. La agencia de ciberseguridad de EE. UU., CISA, dijo anteriormente que los hackers rusos también robaron correos de varias agencias federales.
Además de las advertencias de Beaumont, hay evidencia de que los clientes de Microsoft están realmente confundidos. En un portal de soporte de Microsoft, un cliente compartió el correo que recibió su organización intentando aclarar si era un correo genuino de Microsoft.
“Este correo tiene varias señales de alarma para mí: la solicitud del ID del inquilino y esencialmente direcciones de correo de nivel administrativo o alto, la página de PowerApps es muy básica, y una búsqueda rápida en Google no encuentra nada relacionado con el título de este correo o su contenido”, escribió la persona. “¿Alguien puede confirmar si esta es una solicitud legítima de Microsoft por correo?”
Comentando en la publicación de LinkedIn de Beaumont, un consultor de ciberseguridad dijo que “varios” de sus clientes recibieron el correo y “todos estaban preocupados de que fuera phishing”.
“A primera vista, esto no inspiró confianza en los destinatarios, quienes empezaron a preguntar en foros o a contactar a los gerentes de cuenta de Microsoft para finalmente confirmar que el correo era legítimo… una forma extraña de que un proveedor como este comunique un problema importante a los clientes potencialmente afectados”, escribió el consultor.
Los portavoces de Microsoft no respondieron cuando TechCrunch preguntó cuántas organizaciones han sido notificadas, o si la empresa planea cambiar la forma en que notifica a los clientes afectados.
