Microsoft a exposé en ligne une base de données de support client

Le par  |  3 commentaire(s)
support-microsoft

Quelque 250 millions d'enregistrements s'étalant sur une période de 14 ans ont été exposés en ligne en décembre dernier. Une base de données de support client de Microsoft.

Avec à sa tête le chercheur en sécurité Bob Diachenko, l'équipe de sécurité de Comparitech a découvert cinq serveurs Elasticsearch non sécurisés contenant des enregistrements sur une période de 14 ans s'étalant de 2005 à décembre 2019.

Il s'agissait d'un même jeu de données pour les cinq serveurs. Elles étaient accessibles à quiconque depuis un navigateur web et sans donc aucune forme d'authentification. Près de 250 millions d'enregistrements de service et support client de Microsoft.

microsoft-support

Parmi ces données en clair, des adresses email et IP, localisations géographiques, descriptions de cas rencontrés, remarques ou encore des notes internes signalées comme confidentielles. Pas si anodin que cela avec une matière pouvant éventuellement servir entre de mauvaises mains à des tentatives d'arnaques.

La découverte remonte au 29 décembre 2019. Elle a été immédiatement signalée à Microsoft qui a réagi en l'espace de 24 heures pour sécuriser les serveurs et données (le 30-31 décembre). C'est certes embarrassant pour Microsoft, mais Bob Diachenko souligne sa réactivité dans l'action correctrice et d'autant plus en période de réveillon du Nouvel An.

Le groupe de Redmond présente ses excuses et évoque une mauvaise configuration d'une base de données interne de support client utilisée pour l'analyse de cas. Elle ferait suite à un changement de groupe de sécurité réseau en date du 5 décembre 2019.

Il n'a pas été trouvé une exploitation malveillante et Microsoft assure que pour la plupart des clients, il n'y a pas eu d'exposition d'informations permettant de les identifier. Cela tient au recours d'outils automatisés pour supprimer des informations personnelles. Et pour les adresses email et IP ?

Un tel incident pourrait éventuellement attirer l'attention du RGPD. Il démontre que même pour un géant comme Microsoft, il n'est pas si simple de gérer et stocker des données. L'horreur serait un incident avec des données vraiment sensibles, mais on peut espérer que la vigilance est alors tout autre.

Dans un billet de blog, Microsoft dit prendre des mesures pour éviter un nouveau problème de ce type à l'avenir. Bob Diachenko (et en partenariat avec Comparitech) n'en est pas à une première découverte de ce style. Dans le cas présent, il s'est appuyé sur le moteur de recherche spécialisé de BinaryEdge qui avait indexé les bases de données. Il est connu pour indexer les périphériques connectés à Internet.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2089054
Personne a rien vu ? Spâ grâve, alors....
Le #2089062
Non mais déjà faut connaître les adresses des serveurs pour y avoir accès... Donc je doute que le mec en question ait trouvé ça "par hasard"... C'set ridicule...
C'est sans doute un employé qui a vu qu'il pouvait s'y connecter depuis chez lui et a divulgué l'info au lieu de la faire réellement remonter à un supérieur interne Microsoft.

Si c'est un truc réservé au support tout le monde connait le niveau de compétence de la plupart des mecs... le plus souvent en plus sous-traitant et n'ayant strictement rien à foutre du client - son employeurs, pas le mec qui appel - en lui-même.
Le #2089071
CodeKiller a écrit :

Non mais déjà faut connaître les adresses des serveurs pour y avoir accès... Donc je doute que le mec en question ait trouvé ça "par hasard"... C'set ridicule...
C'est sans doute un employé qui a vu qu'il pouvait s'y connecter depuis chez lui et a divulgué l'info au lieu de la faire réellement remonter à un supérieur interne Microsoft.

Si c'est un truc réservé au support tout le monde connait le niveau de compétence de la plupart des mecs... le plus souvent en plus sous-traitant et n'ayant strictement rien à foutre du client - son employeurs, pas le mec qui appel - en lui-même.


Non ca a été indexé par BinaryEdge ou c'est apparu avec un scan.
Ce n'est pas du hasard, car le mec cherchait, mais pas forcément chez MS (on ne sait pas).
Et si c'est en libre accès ca peut être trouvé via un scan, pas besoin de bosser chez MS ou chez un presta.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme