Microsoft ha esposto accidentalmente 250 milioni di record del servizio clienti

Mentre la maggior parte delle persone erano fuori a festeggiare l’inizio di un nuovo anno, i team di sicurezza di Microsoft stavano facendo gli straordinari per colmare una lacuna di sicurezza potenzialmente enorme. Giovedì, l’azienda ha rivelato un errore nel database che ha temporaneamente lasciato circa 250 milioni di record di assistenza e supporto clienti accessibili a chiunque abbia un browser web.

Il ricercatore sulla sicurezza Bob Diachenko e Comparitech hanno scoperto la vulnerabilità il 29 dicembre. Microsoft ha risolto rapidamente il problema due giorni dopo. Dice che l’esposizione è stata causata da una “errata configurazione” di uno dei suoi database interni di assistenza clienti. L’azienda sostiene di non aver trovato alcuna prova di “uso improprio”.

Il server includeva registri di conversazione risalenti al 2005 tra il personale di supporto Microsoft e i clienti di tutto il mondo. Secondo Comparitech, il database non era protetto da password.

Microsoft afferma che la “stragrande maggioranza” dei dati personali esposti è stata cancellata. Tuttavia, Comparitech nota che alcune informazioni, come l’indirizzo e-mail e l’indirizzo IP, sono state memorizzate in chiaro. Se qualcuno fosse stato in grado di accedere ai registri, avrebbe potuto usarli per impersonare più facilmente il personale di supporto dell’azienda in uno schema di phishing.

“Vogliamo scusarci sinceramente e rassicurare i nostri clienti che stiamo prendendo la cosa sul serio e che stiamo lavorando diligentemente per imparare e agire per evitare che si ripeta in futuro”, ha detto Microsoft. L’azienda ha iniziato a notificare le persone i cui dati sono stati memorizzati nel database.

Sulla scia di quest’ultima esposizione, Microsoft afferma di voler verificare le proprie regole di sicurezza interna, oltre a implementare strumenti aggiuntivi per la correzione automatica delle informazioni sensibili degli utenti. Inoltre, metterà in atto nuovi e più ampi allarmi per notificare i suoi team di servizio quando rileva un errore di configurazione della sicurezza.

Per Microsoft, questo è il secondo importante incidente di sicurezza dei dati legato al suo sistema di assistenza clienti in un solo anno. Nell’aprile 2019, l’azienda ha rivelato che gli hacker hanno utilizzato le credenziali di un rappresentante dell’assistenza clienti per violare gli account di posta elettronica di alcuni dei suoi utenti.

In definitiva, il problema in entrambi i casi è che i sistemi di supporto interno hanno livelli di accesso alle informazioni degli utenti quasi senza precedenti, il che li rende obiettivi allettanti per gli hacker.