Plus de 250 millions de dossiers de service et d'assistance à la clientèle ont été exposés par Microsoft sur une période de deux jours en décembre 2019 en raison d'une mauvaise configuration du serveur. Comme les dossiers n'étaient pas sécurisés par des mesures d'authentification, toute personne disposant d'une connexion Internet et d'un navigateur aurait pu accéder aux données.
Le même ensemble de 250 millions d'enregistrements était stocké sur cinq serveurs Elasticsearch, qui ont été repérés par Bob Diachenko, chercheur en sécurité de Comparitech, et son équipe le 29 décembre. Ils ont immédiatement averti Microsoft, qui a sécurisé les données et a lancé une enquête dans les deux jours.
Microsoft s'est excusé de l'incident et a rapidement assuré aux utilisateurs qu'elle n'avait pas détecté d'utilisation malveillante des serveurs qui fuyaient. Le géant de la technologie a également fait l'objet d'autres nouvelles ces derniers temps, notamment une grave vulnérabilité de Windows et une faille de type zero-day dans Internet Explorer.
Quelles données sont touchées?
Les dossiers comprenaient des journaux d'échanges entre le service clientèle de Microsoft et ses clients, couvrant une période de 14 ans, de 2005 à 2019.
Bien que la plupart des informations sensibles permettant d'identifier une personne, telles que les informations de paiement, aient été expurgées, de nombreux enregistrements étaient encore en texte clair. Ces derniers comprenaient les adresses IP, les lieux et les notes internes indiquées comme « confidentielles », les adresses électroniques des clients, les descriptions des réclamations et des cas de support du service clientèle, les courriels des agents de support de Microsoft, les numéros de cas, les résolutions et les remarques.
La cause?
L'enquête a révélé que le coupable était un changement dans le groupe de sécurité du réseau de la base de données, qui contenait des règles de sécurité mal configurées.
De telles erreurs de configuration ne sont pas rares, et nous avons récemment signalé une fuite de données qui a exposé des applications de certificats de naissance. En effet, Microsoft a fait écho à ce même sentiment dans un billet de blogue s'adressant à ses clients :
« Les erreurs de configuration sont malheureusement monnaie courante dans le secteur. Nous avons des solutions pour éviter ce genre d'erreur, mais malheureusement, elles n'ont pas été activées pour cette base de données. Comme nous l'avons appris, il est bon de revoir périodiquement vos propres configurations et de s'assurer que vous profitez de toutes les protections disponibles ».
