Rapport : 250 millions de dossiers de service client et d'assistance Microsoft exposés sur le Web
Au cours de la nouvelle année, Microsoft a exposé près de 250 millions d'enregistrements CSS (Customer Service and Support) sur le Web. Les enregistrements contenaient des journaux de conversations entre les agents du support Microsoft et les clients du monde entier, s'étalant sur une période de 14 ans allant de 2005 à décembre 2019. Toutes les données étaient accessibles à toute personne disposant d'un navigateur Web, sans mot de passe ni autre authentification. nécessaire.
L'équipe de recherche en sécurité de Comparitech dirigée par Bob Diachenko a découvert cinq serveurs Elasticsearch, chacun contenant un ensemble apparemment identique de 250 millions d'enregistrements. Diachenko a immédiatement informé Microsoft après avoir découvert les données exposées, et Microsoft a pris des mesures rapides pour les sécuriser.
'Nous remercions Bob Diachenko d'avoir travaillé en étroite collaboration avec nous afin que nous puissions rapidement corriger cette mauvaise configuration, analyser les données et informer les clients le cas échéant.'
– Eric Doerr, directeur général, Microsoft
Chronologie de l'exposition
Au total, les données ont été exposées pendant environ deux jours avant que nous alertions Microsoft et que les enregistrements soient sécurisés.
- 28 décembre 2019 – Les bases de données ont été indexées par le moteur de recherche BinaryEdge
- 29 décembre 2019 – Diachenko a découvert les bases de données et en a immédiatement informé Microsoft.
- 30 et 31 décembre 2019 – Microsoft a sécurisé les serveurs et les données. Diachenko et Microsoft ont poursuivi le processus d'enquête et de remédiation.
- 21 janvier 2020 – Microsoft a divulgué des détails supplémentaires sur l'exposition à la suite de l'enquête.
'J'ai immédiatement signalé cela à Microsoft et en 24 heures, tous les serveurs étaient sécurisés', a déclaré Diachenko. 'J'applaudis l'équipe d'assistance MS pour sa réactivité et sa rapidité d'exécution malgré le réveillon du Nouvel An.'
Nous ne savons pas si d'autres parties non autorisées ont accédé à la base de données pendant cette période.
Quelles données ont été exposées ?
Diachenko explique que la plupart des informations personnelles identifiables (alias de messagerie, numéros de contrat et informations de paiement) ont été expurgées. Cependant, de nombreux enregistrements contenaient des données en texte brut, notamment :
- Adresses e-mail des clients
- Adresses IP
- Emplacements
- Descriptions des réclamations et des cas CSS
- E-mails des agents de support Microsoft
- Numéros de cas, résolutions et remarques
- Notes internes marquées comme « confidentielles »
Dangers des données exposées pour les clients Microsoft
Même si la plupart des informations personnelles identifiables ont été supprimées des dossiers, les dangers de cette exposition ne doivent pas être sous-estimés. Les données pourraient être particulièrement utiles aux fraudeurs du support technique.
Escroqueries au support technique impliquent qu'un escroc contacte les utilisateurs et se fasse passer pour un représentant du support Microsoft. Ces types d’escroqueries sont très répandus et même lorsque les fraudeurs ne disposent d’aucune information personnelle sur leurs cibles, ils usurpent souvent l’identité du personnel de Microsoft. Microsoft Windows est après tout le système d’exploitation le plus populaire au monde.
Avec des journaux détaillés et des informations sur les cas en main, les fraudeurs ont de meilleures chances de réussir contre leurs cibles. Si les fraudeurs obtenaient les données avant qu’elles ne soient sécurisées, ils pourraient les exploiter en se faisant passer pour un véritable employé de Microsoft et en se référant à un numéro de dossier réel. À partir de là, ils pourraient pirater des informations sensibles ou détourner les appareils des utilisateurs.
Les clients Microsoft et les utilisateurs Windows doivent être à l’affût de telles escroqueries par téléphone et par courrier électronique. N'oubliez pas que Microsoft ne contacte jamais les utilisateurs de manière proactive pour résoudre leurs problèmes techniques : les utilisateurs doivent d'abord demander de l'aide à Microsoft. Les employés de Microsoft ne vous demanderont pas votre mot de passe ni ne vous demanderont d'installer des applications de bureau à distance comme TeamViewer. Ce sont des tactiques courantes parmi les escrocs technologiques.
Violations et expositions passées de Microsoft
Ce n’est pas le premier incident de sécurité des données de Microsoft.
En 2013, des pirates ont pénétré dans la base de données secrète de l’entreprise pour suivre les bogues de ses logiciels. Cette violation n’incluait aucune information sur l’utilisateur et n’a jamais été officiellement divulguée au public, mais Reuters a confirmé l'incident avec cinq anciens salariés.
Entre janvier et mars 2019, des pirates ont compromis le compte d'un agent du support Microsoft. La société a déclaré qu’il était possible que le pirate informatique ait accédé au contenu des comptes de certains utilisateurs d’Outlook.
Boostez votre cybersécurité avec notre liste de:- Meilleurs services VPN
- Meilleur logiciel antivirus
- Meilleurs services de protection contre le vol d’identité
Comment et pourquoi nous avons découvert cette exposition
Comparitech collabore avec le chercheur en sécurité Bob Diachenko pour trouver des bases de données exposées sur le Web. La vaste expérience de Diachenko en matière de cybersécurité nous permet de divulguer rapidement et de manière responsable les violations de données et les expositions aux parties responsables.
Une fois que Diachenko découvre des données mal sécurisées, il prend immédiatement des mesures pour identifier et informer le propriétaire. Une fois les données sécurisées, Comparitech publie un rapport comme celui-ci.
Nous étudions le contenu de la base de données pour déterminer quelles informations ont été exposées et à qui elles appartiennent. Notre objectif est d'atténuer les dommages causés aux utilisateurs finaux en limitant l'accès aux données et en sensibilisant ceux qui pourraient être concernés.
Rapports précédents
Comparitech et Diachenko ont travaillé ensemble sur un certain nombre de rapports d'incidents de données affectant des millions de personnes, notamment :
- 267 millions d’identifiants d’utilisateurs et de numéros de téléphone Facebook exposés en ligne
- 2,7 milliards d'adresses e-mail exposées provenant principalement de domaines chinois, dont 1 million incluaient des mots de passe
- Dossiers personnels détaillés de 188 millions de personnes découverts sur le Web
- 7 millions de dossiers d'élèves dévoilés par K12.com
- 5 millions de dossiers personnels appartenant à MedicareSupplement.com exposés au public
- 2,8 millions de dossiers clients CenturyLink exposés
- Fuite de 700 000 dossiers clients de Choice Hotels