Una società di sicurezza fa causa a Microsoft, accusando il gigante della tecnologia di aver abusato di accessi e password rubati

Una società di intelligence sulle minacce alla sicurezza sostiene che Microsoft abbia utilizzato in modo improprio il database dell’azienda di oltre 360 milioni di accessi e password di account compromessi, estratti dal dark web.
L’azienda, Hold Security LLC, con sede nell’area di Milwaukee, afferma che Microsoft non ha mantenuto la promessa di distruggere le sue copie di credenziali non associate agli accessi Microsoft dopo averle utilizzate per proteggere i propri clienti.
Microsoft afferma che le accuse caratterizzano erroneamente il suo accordo con l’azienda.
La società con sede a Redmond afferma che cercherà di archiviare una causa intentata da Hold Security questa settimana presso la King County Superior Court di Seattle.
La causa tocca due delle più grandi acquisizioni di Microsoft; uno scambio su Twitter tra due personaggi noti della sicurezza informatica; e gli sforzi del gigante della tecnologia per interrompere la rete criminale dietro il malware Trickbot.
Database di credenziali rubate: la causa spiega: “All’inizio del 2014, Hold, attraverso pratiche commerciali riservate e il proprio prodotto di lavoro, ha ottenuto l’accesso a oltre 360 milioni di credenziali di account rubate sul Dark Web.
Queste credenziali dell’account consistevano in e-mail e password compromesse.
Secondo la causa, Microsoft ha stipulato un contratto con Hold per utilizzare le credenziali per proteggere i propri clienti, avvisandoli che i loro accessi e password erano stati compromessi.
La causa afferma che tutte le credenziali rubate che non corrispondono a un account Microsoft “non dovevano essere utilizzate da Microsoft e dovevano essere distrutte da Microsoft”.
“Questo è stato un aspetto critico delle intese e dell’accordo tra le parti”, aggiunge.
“Né Microsoft né Hold hanno contemplato o comunicato un utilizzo delle credenziali dell’account rubate al di fuori della sola protezione dei clienti esistenti di Microsoft”.
Accuse di uso improprio: Hold Security sostiene nella causa che Microsoft ha applicato in modo improprio le credenziali rubate, oltre l’ambito del contratto del 2015, ad Active Directory Federation Services (AD FS) e a LinkedIn e GitHub, due società acquisite da Microsoft nel 2016 e 2018, rispettivamente.
La causa sostiene che Microsoft abbia utilizzato le credenziali rubate “nella sua amministrazione di” LinkedIn e GitHub, ma non fornisce ulteriori dettagli su questo punto.
Gli avvocati di Hold Security non hanno risposto alle richieste di commento questa settimana.
“Hold non era a conoscenza dell’uso improprio da parte di Microsoft delle credenziali dell’account rubato nelle transazioni AD FS, LinkedIn e Github e, sulla base di informazioni e convinzioni, ritiene che potrebbe esserci stato un ulteriore uso improprio dei dati al di fuori di quelli delineati sopra”, il vestito dice.
La causa sostiene che Microsoft abbia successivamente “requisito” il database di credenziali rubate di Hold Security e consentito impropriamente a terzi di utilizzare i servizi di Hold tramite il suo browser Web Edge, dopo che Microsoft ha concluso ulteriori colloqui di licenza con Hold Security nel 2020.
Risposta di Microsoft: “Negli ultimi diversi mesi, Microsoft è stata in contatto con i rappresentanti di Hold Security nel tentativo di risolvere amichevolmente una controversia sul rapporto contrattuale tra le parti”, ha dichiarato un portavoce di Microsoft in una nota.
“Poiché le affermazioni nella causa non riflettono accuratamente i termini del contratto, Microsoft cercherà di respingere le rivendicazioni.” Alla richiesta di approfondire l’affermazione secondo cui la causa non riflette accuratamente i termini del contratto, il portavoce ha affermato che i dettagli saranno inclusi nella prossima mozione di Microsoft per archiviare la causa.
Accuse di ritorsione: la causa fa anche affermazioni di ritorsione, sostenendo che Microsoft ha cercato di minare Hold Security dopo che il suo proprietario, Alex Holden, ha detto a un giornalista nell’ottobre 2020 che gli sforzi di Microsoft per interrompere l’operazione criminale dietro il malware Trickbot non sono stati un “decisivo vittoria.” Hold Security sostiene che un leader della Digital Crimes Unit di Microsoft abbia ordinato ai dipendenti Microsoft di smettere di fare affari con l’azienda.
“Microsoft apparentemente ha contestato i commenti pubblici del signor Holden e ha deciso di vendicarsi contro Hold”, dice in parte la causa.
“Ciò ha comportato una significativa perdita di affari per Hold.” Scambio su Twitter dell’ottobre 2020: allo stesso modo, la causa cita uno scambio su Twitter dell’ottobre 2020 tra Kevin Beaumont, che all’epoca era un analista senior di intelligence sulle minacce di Microsoft; e il giornalista di sicurezza informatica Brian Krebs.
Un tweet di Beaumont all’epoca collegato a una storia del 28 ottobre 2020 di Krebs che citava Holden come fonte.
Beaumont ha notato che Hold Security ha elencato Krebs “nel loro consiglio” sul suo sito Web in quel momento.
Il sito di Hold Security ha elencato Krebs come membro del comitato consultivo di Hold Security (vedi l’archivio qui).
Su Twitter dell’epoca, Beaumont ha aggiunto, “non è uno schianto contro Hold Security, Brian Krebs o la storia generale del ransomware ospedaliero.
Sono stato solo sorpreso di vedere un giornalista elencato come membro del consiglio di una società di sicurezza informatica mescolato in una grande storia di Trickbot.
Krebs ha risposto all’epoca che era un consulente non pagato.
Contattato via e-mail questa settimana in merito alla causa, Krebs ha spiegato: Alex e io abbiamo avviato le nostre società all’incirca nello stesso periodo, e quando mi ha chiesto se sarei stato nel suo comitato consultivo non ho esitato, perché volevo vederlo avere successo .
Non mi aspettavo né ricevevo un compenso in cambio.
Ho chiesto ad Alex di rimuovere il mio nome dopo 10 anni perché la sua azienda sembrava prosperare e perché il tweet del signor Beaumont non era la prima volta che qualcuno richiamava l’attenzione su di esso senza alcun contesto o accennando a qualcosa di nefasto.
La causa sostiene che Beaumont, “per conto di Microsoft, abbia twittato false informazioni su Hold, il che ha portato Hold a perdere un membro chiave del suo consiglio di amministrazione: Brian Krebs.
Ciò ha comportato un’ulteriore perdita di affari per Hold.
Beaumont, che non lavora più per Microsoft, ha detto questa settimana che le dichiarazioni della causa su di lui non erano vere e che Microsoft non gli ha mai ordinato di twittare qualcosa su Hold Security o qualcosa relativo alla situazione.
“Ho ricevuto solo una richiesta per twittare qualcosa a Microsoft, che era un blog di marketing sugli attacchi al firmware – ho rifiutato perché non andava bene”, ha detto Beaumont.
“Non ho mai saputo di un accordo di condivisione dei dati, né ho lavorato in un’area che utilizzava tali dati: ero in un’altra unità aziendale”.
Beaumont ha affermato di essere d’accordo con Hold Security sul fatto che il tentativo di rimozione di Trickbot da parte di Microsoft non ha avuto successo.