Microsoft expuso 250 millones de registros de atención al cliente


Las bases de datos que contienen registros de soporte al cliente por valor de 14 años fueron accesibles públicamente sin protección por contraseña

Microsoft expuso más de 250 millones de registros de servicio al cliente y soporte durante un período de dos días en diciembre de 2019 debido a una configuración incorrecta del servidor. Dado que los registros no estaban protegidos con ninguna medida de autenticación, cualquier persona con una conexión a Online y un navegador podría haber accedido a los datos.

El mismo conjunto de 250 millones de registros se almacenó en cinco servidores Elasticsearch, que fueron detectados por El investigador de seguridad de Comparitech Bob Diachenko y su equipo el 29 de diciembreth. Inmediatamente notificaron a Microsoft, que aseguró los datos y comenzó una investigación en dos días.

Microsoft se disculpó por el incidente y aseguró rápidamente a los usuarios que no había detectado ningún uso malicioso de los servidores con fugas. El gigante de la tecnología también ha estado en las noticias en los últimos tiempos por otras razones, especialmente una severa vulnerabilidad en Home windows y un falla de día cero en World-wide-web Explorer.

Que datos

Los registros incluyeron registros de intercambios entre la atención al cliente de Microsoft y sus clientes, que abarcan un período de 14 años desde 2005 hasta 2019.

Si bien la mayor parte de la información confidencial que period de identificación personalized, como la información de pago, fue redactada, todavía había muchos registros que estaban en forma de texto sin formato. El último incluía direcciones IP, ubicaciones y notas internas marcadas como «confidenciales», direcciones de correo electrónico de clientes, descripciones de reclamos y casos de soporte de servicio al cliente, correos electrónicos de agentes de soporte de Microsoft, números de casos, resoluciones y comentarios.

¿La causa?

La investigación reveló que el culpable period un cambio en el grupo de seguridad de purple de la base de datos, que contenía reglas de seguridad mal configuradas.

Tales configuraciones incorrectas no son raras, y recientemente informamos sobre un fuga de datos que expuso las solicitudes de certificados de nacimiento. De hecho, Microsoft se hizo eco de este mismo sentimiento en un Blog dirigiéndose a sus clientes:

“Desafortunadamente, las configuraciones incorrectas son un mistake común en toda la industria. Tenemos soluciones para ayudar a prevenir este tipo de mistake, pero desafortunadamente no fueron habilitadas para esta base de datos. Como hemos aprendido, es bueno revisar periódicamente sus propias configuraciones y asegurarse de que está aprovechando todas las protecciones disponibles «.

Otra fuga de datos que involucra un servidor Elasticsearch mal configurado afectó a casi toda la población de Ecuador hace pocos meses.








Enlace a la noticia initial