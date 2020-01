Siège de Microsoft à Redmond, Washington (. Photo / Monica Nickelsburg)

Microsoft a dévoilé environ 250 millions d’enregistrements de service client en raison de ce que la société a appelé une «mauvaise configuration d’une base de données de support client interne» utilisée pour suivre les cas de support.

La société d’examen technique Comparitech et le chercheur en sécurité Bob Diachenko ont repéré les enregistrements exposés. L’équipe de recherche en sécurité de Comparitech a découvert plusieurs «serveurs Elasticsearch», qui comprenaient 14 ans de journaux de conversations entre les représentants du support Microsoft et des clients du monde entier.

Dans un article de blog sur l’incident, Microsoft a déclaré que le problème provenait d’une modification de la base de données le 5 décembre qui «contenait des règles de sécurité mal configurées qui permettaient l’exposition des données». Comparitech et Diachenko ont informé Microsoft du problème le 31 décembre et le Le géant de la technologie a rapidement pris des mesures pour le corriger.

«Les erreurs de configuration sont malheureusement une erreur courante dans l’industrie», a écrit Microsoft dans le blog. «Nous avons des solutions pour éviter ce genre d’erreur, mais malheureusement, elles n’ont pas été activées pour cette base de données.»

Microsoft a déclaré que le problème était spécifique à la base de données de support et ne reflétait pas une exposition de ses services cloud commerciaux. Conformément à la politique de l’entreprise, les informations stockées dans la base de données ont été supprimées pour supprimer les informations personnelles, a déclaré Microsoft.

“Notre enquête a confirmé que la grande majorité des enregistrements ont été effacés des informations personnelles conformément à nos pratiques standard”, selon le blog. «Dans certains scénarios, les données peuvent ne pas avoir été supprimées si elles remplissaient des conditions spécifiques.»

Diachenko et Comparitech ont trouvé des données en texte brut dans de nombreux enregistrements contenant des informations telles que les adresses e-mail et les emplacements des clients, les adresses IP, les notes confidentielles internes et les e-mails des agents de support Microsoft

L’enquête de Microsoft n’a trouvé aucune utilisation malveillante des données.

Comparitech a noté que ces types d’incidents peuvent souvent conduire à des «escroqueries de support technique», où les pirates prétendent être des agents du service client pour accéder aux informations personnelles des utilisateurs. Si les pirates voyaient ces données, ils pourraient lancer des escroqueries de support technique très efficaces car ils auraient accès aux enregistrements du service client et aux numéros de dossier, ce qui rend leurs tentatives de contacter des personnes légitimes.

Un récent rapport de Risk Based Security a révélé qu’au cours des neuf premiers mois de 2019, 7,9 milliards de documents personnels ont été exposés à des violations de données. Le type d’incident le plus courant était un incident interne accidentel, exposant les dossiers des clients sans la présence d’un hack.