Avec à sa tête le chercheur en sécurité Bob Diachenko, l'équipe de sécurité de Comparitech a découvert cinq serveurs Elasticsearch non sécurisés contenant des enregistrements sur une période de 14 ans s'étalant de 2005 à décembre 2019.
Il s'agissait d'un même jeu de données pour les cinq serveurs. Elles étaient accessibles à quiconque depuis un navigateur web et sans donc aucune forme d'authentification. Près de 250 millions d'enregistrements de service et support client de Microsoft.
Parmi ces données en clair, des adresses email et IP, localisations géographiques, descriptions de cas rencontrés, remarques ou encore des notes internes signalées comme confidentielles. Pas si anodin que cela avec une matière pouvant éventuellement servir entre de mauvaises mains à des tentatives d'arnaques.
La découverte remonte au 29 décembre 2019. Elle a été immédiatement signalée à Microsoft qui a réagi en l'espace de 24 heures pour sécuriser les serveurs et données (le 30-31 décembre). C'est certes embarrassant pour Microsoft, mais Bob Diachenko souligne sa réactivité dans l'action correctrice et d'autant plus en période de réveillon du Nouvel An.
Le groupe de Redmond présente ses excuses et évoque une mauvaise configuration d'une base de données interne de support client utilisée pour l'analyse de cas. Elle ferait suite à un changement de groupe de sécurité réseau en date du 5 décembre 2019.
Il n'a pas été trouvé une exploitation malveillante et Microsoft assure que pour la plupart des clients, il n'y a pas eu d'exposition d'informations permettant de les identifier. Cela tient au recours d'outils automatisés pour supprimer des informations personnelles. Et pour les adresses email et IP ?
[NEW REPORT] Misconfigurations happen - no matter how big or secured a company is. Here is my new report. 250M+ million Microsoft's Customer Service and Support (CSS) records were exposed on the web. https://t.co/C1Ll0nT8vz
— Bob Diachenko (@MayhemDayOne) 22 janvier 2020
Un tel incident pourrait éventuellement attirer l'attention du RGPD. Il démontre que même pour un géant comme Microsoft, il n'est pas si simple de gérer et stocker des données. L'horreur serait un incident avec des données vraiment sensibles, mais on peut espérer que la vigilance est alors tout autre.
Dans un billet de blog, Microsoft dit prendre des mesures pour éviter un nouveau problème de ce type à l'avenir. Bob Diachenko (et en partenariat avec Comparitech) n'en est pas à une première découverte de ce style. Dans le cas présent, il s'est appuyé sur le moteur de recherche spécialisé de BinaryEdge qui avait indexé les bases de données. Il est connu pour indexer les périphériques connectés à Internet.
