Microsoft laisse traîner 250 millions d’enregistrements de support
Tout le monde peut laisser une base de données mal configurée et ouverte aux quatre vents, même les géants de la Silicon Valley. C’est la mésaventure qui est arrivée à Microsoft à la fin du mois de décembre : comme l’explique le chercheur Bob Diachenko de la société Comparitech.La fuite de données en question a été découverte par son équipe, qui a identifié quelques jours avant le nouvel an cinq bases de données “elasticsearch” contenant les données du support client de 250 millions d’utilisateurs Microsoft.
Parmi les données exposées se trouvaient les adresses physiques des clients, leurs adresses IP, ainsi que les descriptions des problèmes rencontrés par les utilisateurs, les e-mails d’employés Microsoft chargés de suivre ces dossiers, les numéros des cas, des remarques additionnelles et des notes internes de Microsoft. Les chercheurs ont constaté que la plupart des données personnelles relatives aux clients avaient été caviardées par les employés de Microsoft avant la mise en ligne.
Si des mesures avaient été prises en amont pour protéger les données personnelles des utilisateurs, les données exposées pouvaient présenter un intérêt pour les cybercriminels et autres escrocs : comme l’explique Comparitech, ces données auraient pu être exploitées pour des arnaques au faux support technique, une technique qui consiste à se faire passer pour Microsoft auprès d’un client afin de lui soutirer de l’argent. Dans ce type d’arnaque, avoir accès aux données du service client Microsoft est une ressource précieuse.
Plus de peur que de mal ?
Dans un post de blog du Microsoft Security Response Center (MSRC), Microsoft confirme les informations de Comparitech. « Notre enquête a déterminé qu’une modification apportée au groupe de sécurité réseau de la base de données le 5 décembre 2019 contenait des règles de sécurité mal configurées qui ont rendu possible l’exposition des données. Dès la notification du problème, les ingénieurs ont corrigé la configuration le 31 décembre 2019 pour restreindre la base de données et empêcher tout accès non autorisé », explique l’équipe de Microsoft sur son blog.
MSRC précise que dans certains cas, des données personnelles de client mal formatées avaient été affichées en clair dans les bases de données, et indique qu’elle se chargera d’alerter les utilisateurs affectés par cette exposition des données. Microsoft précise également que les différents cas utilisateurs hébergés dans cette base de données sont des exemples utilisés à des fins statistiques et qu’ils ne sont pas représentatifs des opérations de support en cours auprès des clients. Microsoft précise également que selon ses investigations, ces données n’ont pas été exploitées ou récupérées par des tiers.
