En marzo, Microsoft confirmó que hackers del gobierno ruso conocidos como Midnight Blizzard (o APT29) habían ingresado a sus sistemas con el objetivo de robar varios tipos de información, incluidos datos de clientes de Microsoft.
Meses después, Microsoft todavía está en proceso de notificar a sus clientes afectados, y parece que el proceso no está yendo muy bien, con expertos criticando a Microsoft por enviar correos electrónicos que parecen spam, o incluso intentos de phishing.
Kevin Beaumont, un ex empleado de Microsoft y ahora investigador de ciberseguridad que sigue de cerca a la compañía, ha estado advirtiendo a las empresas que estén atentas a estos correos electrónicos de Microsoft.
"Microsoft tuvo una brecha por parte de Rusia que afectó los datos de los clientes y no siguió el proceso de brecha de datos de clientes de Microsoft 365. Las notificaciones no están en el portal, enviaron correos electrónicos a los administradores del inquilino en su lugar", escribió Beaumont en su cuenta de LinkedIn. "Los correos electrónicos pueden ir a spam, y las cuentas de administrador del inquilino se supone que son cuentas seguras sin correo electrónico. Tampoco han informado a las organizaciones a través de los administradores de cuentas. Debes revisar todos los correos electrónicos desde junio. Es generalizado."
Uno de los principales problemas con el correo electrónico de notificación de Microsoft es que incluye un "enlace seguro" a un dominio que no tiene conexión aparente con Microsoft. En su lugar, el correo electrónico incluye un enlace a: "purviewcustomer.powerappsportals.com".
"Básicamente, la alerta crítica parece un ataque de phishing", escribió una persona en X.
Ese enlace ha sido enviado a urlscan.io, un sitio que puede ayudar a detectar enlaces maliciosos, más de cien veces. Eso sugiere que hay muchas organizaciones que vieron ese correo electrónico oficial legítimo de Microsoft y pensaron que era malicioso.
Contáctenos
¿Tiene más información sobre este incidente de Microsoft? Desde un dispositivo que no sea de trabajo, puede contactar de forma segura a Lorenzo Franceschi-Bicchierai en Signal al +1 917 257 1382, o a través de Telegram, Keybase y Wire @lorenzofb, o por correo electrónico. También puede contactar a TechCrunch a través de SecureDrop.Las presentaciones en urlscan.io también sugieren que hay al menos cien compañías que se vieron afectadas por el hackeo del gobierno ruso a Microsoft. La agencia de ciberseguridad de EE. UU., CISA, dijo anteriormente que los hackers rusos también robaron correos electrónicos de varias agencias federales.
Además de las advertencias de Beaumont, hay evidencia de que los clientes de Microsoft están legítimamente confundidos. En un portal de soporte de Microsoft, un cliente compartió el correo electrónico que su organización recibió en un intento de obtener claridad sobre si era un correo electrónico genuino de Microsoft.
"Este correo electrónico tiene varias señales de alerta para mí, la solicitud del ID del inquilino y básicamente direcciones de correo electrónico de administrador o alto nivel, la página de powerapps siendo muy básica, y una rápida búsqueda en Google no encontrando nada relacionado con el título de este correo electrónico o su contenido", escribió la persona. "¿Alguien puede confirmar si este es un correo electrónico legítimo de Microsoft?"
Comentando en la publicación de LinkedIn de Beaumont, un consultor de ciberseguridad dijo que "varios" de sus clientes recibieron el correo electrónico y "Todos estaban preocupados de que fuera phishing".
"A primera vista, esto no inspiraba confianza en los destinatarios, que comenzaron a preguntar en foros o a comunicarse con los administradores de cuentas de Microsoft para finalmente confirmar que el correo electrónico era legítimo...una forma extraña para un proveedor como este de comunicar un problema importante a clientes potencialmente afectados", escribió el consultor.
Los portavoces de Microsoft no respondieron cuando TechCrunch preguntó cuántas organizaciones han sido notificadas, o si la empresa planea cambiar la forma en que notifica a los clientes afectados.