O CTO da Pistachio, Zack Korman, identificou e reportou a falha à Microsoft, que entretanto corrigiu o problema através de um patch no Copilot. Contudo, a empresa não planeava informar os clientes, levando Korman a divulgar a vulnerabilidade por iniciativa própria, argumentando que as empresas precisam de saber que os seus registos podem estar incompletos.

Korman acusou ainda a Microsoft de não cumprir as suas próprias políticas de gestão de vulnerabilidades, salientando que o processo foi mal gerido e comparando-o a um sistema pouco transparente. A empresa decidiu não atribuir um número de CVE, classificando o problema como “importante” e não “crítico”, sob o argumento de que os utilizadores não necessitavam de qualquer ação adicional.

Esta postura levantou críticas pela falta de transparência, especialmente porque entidades reguladas, como as que operam sob normas HIPAA, dependem de registos de auditoria completos para garantir conformidade.

A correção silenciosa da Microsoft, sem aviso oficial, gerou preocupações acrescidas, já que uma falha deste tipo pode ter implicações sérias na deteção e investigação de incidentes. A ausência de comunicação mina a confiança dos utilizadores e deixa dúvidas sobre a responsabilidade da empresa perante os seus clientes.

Face a este cenário, organizações que utilizam o M365 Copilot podem necessitar de rever os seus audit logs recentes para identificar possíveis lacunas ou imprecisões que tenham ficado fora do registo durante o período em que a vulnerabilidade esteve ativa.