Des serveurs mal programmés du service de soutien technique de Microsoft ont exposé près de 250 millions de dossiers de clients en ligne.
Des chercheurs de Comparitech, un site britannique qui examine les produits de sécurité informatique, ont déclaré mercredi avoir récemment découvert cinq serveurs Elasticsearch appartenant au géant de Redmond avec des copies identiques de dossiers clients accessibles sans mot de passe ou autre authentification nécessaire.
Ces dossiers contenaient notamment des enregistrements et des transcriptions de conversations entre les agents de Microsoft et des clients du monde entier, d’une période allant de 2005 à 2019.
Tout individu disposant d’un navigateur Web a pu consulter ces données pendant 25 jours à la fin de 2019, ont rapporté les chercheurs.
Microsoft a rapidement sécurisé ces informations après pris connaissance de la situation.
Le chercheur indépendant Bob Diachenko, qui dirigeait l’équipe de Comparitech, a indiqué que la plupart des informations personnellement identifiables, telles que les alias de courrier électronique, les numéros de contrat et les données de paiement, avaient été caviardées dans les enregistrements.
Cependant, de nombreux enregistrements contenaient des données en texte brut, dont les adresses électroniques des clients, les adresses IP, les descriptions des requêtes, les courriels des agents de Microsoft, les numéros de cas, des notes sur les problèmes résolus, ainsi que d’autres notes internes marquées comme « confidentielles ».
En plus de poser un haut risque d’hameçonnage, cette faille offrait une précieuse collection de données à des fraudeurs voulant usurper l’identité d’agents de Microsoft pour installer des logiciels malveillants sur les appareils de victimes.
« Avec un historique détaillé des appels au soutien technique et des informations sur chaque cas en main, les escrocs peuvent facilement piéger leurs victimes », a expliqué Paul Bischoff, chercheur chez Comparitech, à Infosecurity Magazine.
« N’oubliez pas que Microsoft n’intervient jamais de manière proactive auprès des utilisateurs pour résoudre leurs problèmes techniques — les utilisateurs doivent d’abord demander de l’aide à Microsoft », a rappelé Bob Diachenko dans un billet de blogue.
« Les employés de Microsoft ne vous demanderont pas votre mot de passe ou ne vous suggérons pas d’installer des applications de bureau à distance. Ce sont des tactiques courantes chez les escrocs de la technologie. »
À la suite d’une enquête, Microsoft a confirmé que la faille découlait d’une mauvaise configuration des serveurs. L’entreprise a toutefois précisé avoir pris les mesures nécessaires pour limiter les dégâts.
« Dès qu’on les a informés du problème, nos ingénieurs ont corrigé la configuration pour restreindre la base de données et empêcher tout accès non autorisé. Cette faille ne concernait qu’une base de données interne spécifique, utilisée pour l’analyse des cas de soutien technique, et ne représente pas une exposition de nos services infonuagiques commerciaux », a déclaré Microsoft par communiqué.
Le géant de Redmond compte désormais exercer un meilleur contrôle sur le respect des règles de sécurité internes et employer des outils supplémentaires pour écrire automatiquement les informations confidentielles des utilisateurs.
À lire sur IT World Canada, une publiction soeur de Direction informatique :
Researchers find open Microsoft database with 250 million support records
