Em março, a Microsoft confirmou que hackers do governo russo conhecidos como Midnight Blizzard (ou APT29) haviam invadido seus sistemas com o objetivo de roubar vários tipos de informações, incluindo dados de clientes da Microsoft.
Meses depois, a Microsoft ainda está no processo de notificar seus clientes afetados, e parece que o processo não está indo muito bem, com especialistas criticando a Microsoft por enviar e-mails que parecem spam, ou mesmo tentativas de phishing.
Kevin Beaumont, ex-funcionário da Microsoft e agora pesquisador de cibersegurança que segue de perto a empresa, tem alertado empresas para ficarem atentas a esses e-mails da Microsoft.
"A Microsoft teve uma violação pela Rússia afetando dados de clientes e não seguiu o processo de violação de dados do cliente do Microsoft 365. As notificações não estão no portal, elas foram enviadas por e-mail para administradores de locatários", escreveu Beaumont em sua conta do LinkedIn. "Os e-mails podem ir para o spam - e contas de administrador do locatário devem ser contas breakglass seguras sem e-mail. Eles também não informaram organizações via gerentes de contas. Você deve verificar todos os e-mails desde junho. É generalizado."
Um dos principais problemas com o e-mail de notificação da Microsoft é que ele inclui um "link seguro" para um domínio que não tem conexão aparente com a Microsoft. Em vez disso, o e-mail inclui um link para: "purviewcustomer.powerappsportals.com".
"Basicamente, o alerta crítico parece um ataque de phishing", escreveu uma pessoa no X.
Esse link foi enviado para o urlscan.io, um site que pode ajudar a identificar links maliciosos, mais de cem vezes. Isso sugere que há muitas organizações que viram esse e-mail legítimo oficial da Microsoft e acharam que era malicioso.
As submissões do urlscan.io também sugerem que há pelo menos cem empresas que foram afetadas pelo hack do governo russo na Microsoft. A agência de cibersegurança dos EUA, CISA, anteriormente disse que os hackers russos também roubaram e-mails de várias agências federais.
Além dos avisos de Beaumont, há algumas evidências de que os clientes da Microsoft estão legitimamente confusos. Em um portal de suporte da Microsoft, um cliente compartilhou o e-mail que sua organização recebeu na tentativa de obter clareza sobre se era um e-mail legítimo da Microsoft.
"Este e-mail tem várias bandeiras vermelhas para mim, o pedido do TenantID e essencialmente endereços de e-mail de admin ou alto nível, a página do powerapps sendo básica, e algumas pesquisas rápidas não encontrando nada relacionado ao título deste e-mail ou seu conteúdo", escreveu a pessoa. "Alguém pode confirmar se este é um e-mail legítimo da Microsoft?"
Comentando na postagem do LinkedIn de Beaumont, um consultor de cibersegurança disse que "vários" de seus clientes receberam o e-mail e "Todos eles estavam preocupados que fosse phishing."
"À primeira vista, isso não inspirou confiança nos destinatários, que começaram a perguntar em fóruns ou a entrar em contato com gerentes de contas da Microsoft para eventualmente confirmar que o e-mail era legítimo... maneira estranha para um provedor como este comunicar um problema importante aos potencialmente clientes afetados", escreveu o consultor.
Os porta-vozes da Microsoft não responderam quando o TechCrunch perguntou quantas organizações foram notificadas, ou se a empresa planeja alterar a forma como notifica os clientes afetados.
