Microsoft, 250 milioni di dati dei clienti del servizio assistenza finiscono online
Sono rimasti esposti online per giorni e senza alcuna protezione 250 milioni di dati relativi ai clienti che hanno fatto uso del servizio d'assistenza ufficiale Microsoft
di Nino Grasso pubblicata il 23 Gennaio 2020, alle 15:41 nel canale SicurezzaMicrosoft
Per via di un errore Microsoft ha lasciato esposti online milioni di dati relativi al servizio di assistenza e supporto interno. A rivelarlo la stessa azienda in un post sul blog ufficiale: il problema è stato scoperto prima da un team di ricercatori di sicurezza capitanato da Bob Diachenko, con il database esposto sul web che contava ben 250 milioni di voci registrate provenienti dal servizio d'assistenza e dai log di supporto.
Secondo quanto dichiarato da Microsoft, il database è stato reso disponibile online per via di un errore: nella fattispecie l'azienda parla di un'errata configurazione nelle regole di sicurezza per via di alcuni cambiamenti fatti il 5 dicembre. Nonostante il problema sia emerso durante le festività Microsoft è stata in grado di riparare all'errore con relativa velocità, visto che tutti i dati sono stati messi in sicurezza il 31 dicembre.
I dati contenevano informazioni legate alle conversazioni avvenute fra i clienti e i team di supporto di Microsoft, e si tratta di dati che tipicamente i tecnici Microsoft raccolgono all'interno di file di log come parte della procedura standard adottata dall'azienda. Alcuni dati, tuttavia, non sono stati protetti con crittografia, e fra questi informazioni sensibili come indirizzi e-mail utili per i clienti o per i tecnici, indirizzi IP, posizioni geografiche, note interne confidenziali.
Come segnalato dal team di ricerca che ha scoperto il problema di sicurezza, le informazioni potrebbero essere usate da attori malevoli, i quali possono fingere di essere un dipendente del servizio d'assistenza ufficiale Microsoft per ottenere dati privati dagli utenti. Nella pratica, però, Microsoft ha dichiarato di non aver scoperto alcuna prova di uso improprio dei dati e si è detta impegnata a impedire che questo tipo di situazione possa accadere nuovamente.
L'azienda ha iniziato ad attuare una serie di procedure che prevedono un controllo più diretto della sicurezza della rete in loco, avvisi aggiuntivi quando errate configurazioni vengono messe in atto e l'implementazione di attività di revisione automatizzate. La compagnia ha notificato privatamente tutti i clienti i cui dati sono stati esposti senza alcuna protezione.
3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoSe una cosa del genere finisse sotto il GPDR, con le penali calcolate sul fatturato ... non basterebbero le scuse ai clienti
Magari usavano Windows 10
E niente crittografia... Si vede che tutto il personale e' intento a combattere i bug di Windows 10...
Un apprendista utonto, la donna delle pulizie o
magari il grinch.. É successo sotto natale.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".