Documentos confidenciales, contraseñas, datos de historiales médicos... toda una serie de archivos supuestamente privados fueron compartidos en el portal de Microsoft Office 365, el cual funciona como una especie de Google Docs donde se pueden almancenar y compartir documentos. ¿Donde radicó el error?
Como suele ser costumbre por parte de administradores de sistemas, o voceros de las empresas cuando se suceden estas tipo de acontecimientos, la culpa recae siempre sobre el usuario... aunque está vez es claro que va más allá.
Según Kevin Beaumont, Arquitecto de Seguridad en Princes Limited:
Los usuarios claramente no entienden como funciona el servicio. Por defecto, los documentos son publicamente accesibles al ser subidos, y es ahí donde comenzó el problema.
La información fue hecha publica al parecer, por los mismos usuarios, quienes creyeron que todo lo que estaban subiendo a la plataforma de Microsoft era de acceso interno entre sus contactos y empresas... y no globalmente como terminó sucediendo.
Con una simple búsqueda en la página Docs.com uno podía encontrar todos estos documentos compartiendo información sensible. Muchas empresas se suscribieron a Office 365 al ser lanzado, ya que ofrece accesibilidad simple y directa a servicios como Skype o al almacenaje de archivos y documentos.
Microsoft, por su lado anunció, que ya está tomando medidas para remover la visibilidad de los documentos y cambiar algunas opciones de su servicio de almacenaje para que este "libre de errores humanos".
En un principio, al recibir el aluvión de quejas de los usuarios, Microsoft decidió por simplemente remover el campo de búsqueda de la página, pero como descubrieron algúnos expertos en seguridad de varias empresas, los documentos aún permanecían accesibles a traves del "caché" que hace google de los recursos de navegación, y seguían apareciendo expuestos.
Luego de varias peripecias, Microsoft logró bloquear los accesos a través de pedidos del motor de búsqueda de Google... pero el daño ya estaba hecho.
Dentro de los datos compartidos "por error" de los usuarios, se encontraban números de seguridad social y de seguro de vida, que para los habitantes de los Estados Unidos es casi tan importante como un número de documento de identidad, y que es codiciado entre estafadores para realizar todo tipo de artimañas.
En un aviso esparcido por diferentes entidades de noticias, Microsoft dijo que:
"Como parte de nuestro compromiso con los usuarios, estamos tomando todos los pasos necesarios para ayudar a quienes inadvertidamente publicaron documentos con información condifencial. Los clientes podrán revisar y actualizar sus configuraciones de acceso accediendo a sus cuentas de www.docs.com."
Tarde Microsoft.... muy tarde.