Pada bulan Mac, Microsoft mengesahkan bahawa penggodam kerajaan Rusia yang dikenali sebagai Midnight Blizzard (atau APT29) telah merampas sistemnya dengan tujuan mencuri pelbagai jenis maklumat, termasuk data pelanggan Microsoft.
Beberapa bulan kemudian, Microsoft masih dalam proses memberitahu pelanggannya yang terjejas, dan kelihatan seperti proses tersebut tidak berjalan dengan lancar, dengan para pakar mengkritik Microsoft kerana menghantar e-mel yang kelihatan seperti spam, atau malah percubaan phishing.
Kevin Beaumont, bekas pekerja Microsoft dan sekarang seorang penyelidik keselamatan siber yang mengikuti rapat syarikat tersebut, telah memberi amaran kepada syarikat-syarikat untuk menjaga e-mel-e-mel Microsoft ini.
“Microsoft mengalami kebocoran oleh Rusia yang mempengaruhi data pelanggan dan tidak mengikuti proses kebocoran data pelanggan Microsoft 365. Pemberitahuan tidak berada di portal, mereka menghantar e-mel kepada pentadbir penyewa sebaliknya," tulis Beaumont di akaun LinkedInnya. “E-mel-e-mel tersebut boleh masuk spam – dan akaun pentadbir penyewa sepatutnya menjadi akaun kecemasan yang selamat tanpa e-mel. Mereka juga tidak memberitahu organisasi melalui pengurus akaun. Anda mahu menyemak semua e-mel sejak Jun. Ia adalah meluas.”
Salah satu isu utama dengan e-mel pemberitahuan Microsoft adalah ia mengandungi "pautan selamat" kepada domain yang tidak mempunyai hubungan yang jelas dengan Microsoft. Sebaliknya, e-mel itu mengandungi pautan ke: “purviewcustomer.powerappsportals.com.”
“Pada dasarnya, amaran penting itu kelihatan seperti serangan phishing,” tulis seseorang di X.
Pautan itu telah dihantar ke urlscan.io, laman yang dapat membantu mengesan pautan yang berbahaya, lebih dari seratus kali. Itu menunjukkan bahawa terdapat banyak organisasi yang melihat e-mel resmi sah Microsoft itu dan menganggapnya sebagai e-mel yang berbahaya.
Juga terdapat bukti bahawa pelanggan Microsoft benar-benar keliru. Dalam portal sokongan Microsoft, seorang pelanggan berkongsi e-mel yang diterima oleh organisasinya dalam usaha untuk mendapatkan kejelasan sama ada ia merupakan e-mel Microsoft yang sah.
“E-mel ini mempunyai beberapa tanda merah bagi saya, permintaan untuk TenantID dan alamat e-mel pentadbir atau tahap tinggi, laman powerapps yang terlalu asas, dan beberapa carian pantas di Google tidak menemui apa-apa berkaitan dengan tajuk e-mel ini atau kandungannya,” tulis orang tersebut. “Boleh sesiapa mengesahkan bahawa ini adalah permintaan e-mel Microsoft yang sah?”
Mengulas pada pos LinkedIn Beaumont, seorang perunding keselamatan siber berkata “beberapa” pelanggan beliau menerima e-mel dan “Semuanya bimbang ia adalah phishing.”
“Pada pandangan pertama, ini tidak menimbulkan kepercayaan untuk penerima, yang mula bertanya di forum atau meraih para pengurus akaun Microsoft untuk akhirnya mengesahkan bahawa e-mel itu adalah sah…cara aneh bagi penyedia seperti ini untuk berkomunikasi isu penting kepada pelanggan yang mungkin terjejas,” tulis perunding tersebut.
Juru bicara Microsoft tidak memberi respons apabila TechCrunch bertanya berapa banyak organisasi yang telah diberi maklum, atau jika syarikat tersebut merancang untuk mengubah cara ia memberitahu pelanggan yang terjejas.
Penyertaan urlscan.io juga menunjukkan bahawa sekurang-kurangnya seratus syarikat telah terjejas oleh serangan kerajaan Rusia ke atas Microsoft. Agensi siber AS CISA sebelum ini mengatakan penggodam Rusia juga mencuri e-mel beberapa agensi persekutuan.