Uma falha de segurança recentemente descoberta no M365 Copilot permitia que utilizadores acedessem a informações de ficheiros sem que a atividade ficasse registada, levantando sérias preocupações sobre a transparência e segurança da ferramenta de inteligência artificial da Microsoft. A empresa já corrigiu o problema, mas a sua decisão de não notificar os clientes gerou controvérsia.
Uma vulnerabilidade descoberta por acaso
A falha, que não exigia um ciberataque complexo para ser explorada, foi identificada por Zack Korman, CTO da empresa de segurança Pistachio. Segundo Korman, a vulnerabilidade poderia ser facilmente aproveitada por insiders maliciosos para consultar ficheiros sensíveis sem serem detetados. Esta situação representa um problema significativo para organizações que dependem de registos de auditoria precisos para garantir a segurança, a conformidade legal e a resposta a incidentes.
A revelação foi detalhada por Korman no blog oficial da Pistachio, depois de ter reportado a falha à Microsoft. Embora a gigante tecnológica tenha corrigido o problema diretamente no Copilot há alguns dias, a sua gestão do caso está a ser criticada.
Microsoft corrige em silêncio e recusa alertar utilizadores
Após a correção, a Microsoft informou Korman que não planeava divulgar a vulnerabilidade aos seus clientes nem emitir um número de identificação CVE (Common Vulnerabilities and Exposures), argumentando que, por ter sido classificada como "importante" e não "crítica", não exigia ação por parte dos utilizadores.
Esta decisão foi fortemente contestada pelo investigador, que defende que as empresas têm o direito de saber que os seus registos de auditoria podem estar incompletos. Korman criticou ainda o processo do MSRC (Microsoft Security Response Center), afirmando que este não seguiu as suas próprias políticas publicadas para o tratamento de relatórios de vulnerabilidades, comparando a experiência ao "Domino’s Pizza Tracker para investigadores de segurança" em vez de um reflexo do trabalho a ser feito.
As graves consequências dos registos de auditoria incompletos
A falta de um registo de auditoria completo tem consequências sérias, especialmente para entidades reguladas, como as que estão sujeitas à lei HIPAA no setor da saúde, que dependem destes logs para cumprir requisitos de conformidade. Um registo impreciso dificulta a deteção, investigação e resposta a incidentes de segurança.
A correção silenciosa por parte da Microsoft levanta questões sobre a sua responsabilidade e transparência para com os utilizadores. Dada a relativa facilidade com que a falha podia ser acionada, as organizações poderão agora ter de rever os seus registos de auditoria recentes em busca de possíveis lacunas ou atividades suspeitas que não tenham sido devidamente registadas.
Nenhum comentário
Seja o primeiro!