Microsoft laisse accidentellement fuiter 250 millions d’enregistrements de son service client

© JPstock / Shutterstock.com

Pour l'une des premières fuites de données de la décennie, Microsoft s'en sort très bien.

La firme de Mountain View annonce aujourd'hui que plus de 250 millions d'enregistrements de son service client se sont fait la malle entre le 5 et le 31 décembre dernier.

Une mise à jour qui passe mal

Dans un billet publié sur son blog, Microsoft annonce qu'une erreur de configuration suite à une mise à jour intervenue sur ses serveurs le 5 décembre a ouvert une brèche.

Une brèche qui aura permis au moteur de recherche BinaryEdge d'indexer les bases de données de Microsoft, et donc d'en offrir un accès total, sans qu'aucun mot de passe ou identifiant ne soit requis pour y accéder.

Repérée par l'équipe de sécurité Comparitech le 29 décembre, Microsoft a été alertée le jour même et s'est mise au travail pour sécuriser les données. Un colmatage qui s'est achevé deux jours plus tard, le 31 décembre 2019.

Des données potentiellement sensibles

Les bases de données laissées à l'air libre par Microsoft contenaient près de 250 millions d'enregistrements effectués lors d'appels téléphoniques au service client de l'entreprise, mais aussi tous les dossiers créés de façon subséquente.

Par conséquent, certaines données textuelles ont pu être consultées en clair. C'est notamment le cas des adresses email, des adresses IP, de la localisation des appelants, des numéros de dossiers, ou encore de « notes internes confidentielles » — sans plus de précision.

Pour Comparitech, qui a donc découvert la brèche, les données en fuite pourront ensuite être utilisées lors de grandes campagnes de scamming ou d'hameçonnage ; les pirates ayant à leur disposition toutes les informations nécessaires pour se faire passer pour des agents du SAV Microsoft.


Pour s'assurer que cela ne se reproduise pas, Microsoft se dit déterminée à mener à bien un audit complet de la sécurité de son réseau.

Via : Neowin