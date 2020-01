Ce n’a pas été le meilleur début d’année pour Microsoft. Jeudi dernier, la société a révélé une erreur dans la base de données dévoilé temporairement 250 millions d’enregistrements de service client et une assistance pour toute personne disposant d’un navigateur Web.

Chercheur en sécurité Bob Diachenko et Comparitech a découvert cette vulnérabilité le 29 décembre et Microsoft a dû mettre les piles et résoudre le problème deux jours plus tard.

La faille de sécurité a été causée par une configuration incorrecte dans l’une des bases de données internes du service client et, selon l’entreprise elle-même, n’a trouvé aucune preuve d’utilisation malveillante.

Le serveur comprenait des enregistrements de conversations datant de 2005 entre le personnel de support Microsoft et les clients du monde entier. Selon Comparitech, la base de données n’était pas protégée par un mot de passe.

Quel est le problème avec cette faille de sécurité?

Bien que Microsoft affirme que la grande majorité des données personnelles qui ont été exposées ont été supprimées, Comparitech note que certaines informations, telles que les adresses e-mail et IP, ont été stockées en texte brut. Cela signifie que si quelqu’un a pu accéder aux enregistrements, ils auraient pu les utiliser pour usurper plus facilement l’identité du personnel de soutien de l’entreprise dans un hameçonnage

Microsoft s’est excusé pour ce fait

“Nous voulons sincèrement nous excuser et assurer à nos clients que nous prenons cela au sérieux et que nous travaillons avec diligence pour apprendre et prendre des mesures pour éviter toute récidive future.”

L’entreprise a commencé à informer les personnes dont les données étaient stockées dans la base de données, tandis que Microsoft indique qu’il prévoit d’auditer ses règles de sécurité internes, ainsi que de mettre en œuvre des outils supplémentaires pour écrire automatiquement les informations confidentielles des utilisateurs. Il implémentera également des alertes nouvelles et étendues pour informer vos équipes de service lorsqu’il détecte un paramètre de sécurité incorrect.

