Microsoft : quand une "mauvaise configuration" laisse fuiter 250 millions d'enregistrements du service client ! (moment "oups")

Négligence, imprudence ou traitement de la data sécuritairement douteux, Microsoft devra revoir sa copie : depuis hier, le 22 Janvier, Comparitech a mis en lumière une fuite d'une base de données SAV clients de Microsoft qui comprenait, en libre accès total, pas moins de 250 millions d'enregistrements ; depuis 2005...

 

 

En effet, depuis 2005 jusqu'au 31 Décembre 2019 (date à laquelle la faille a été colmatée), juste avant la fin d'année pour une partie du globe (le 25 janvier prochain pour le nouvel An Chinois !), le cumul de 250 millions d'enregistrements a ainsi été aspiré. Cela concernait des informations sensibles mais, ici donc, uniquement lié aux personnes qui avaient contacté Microsoft par l'intermédiaire de leur support Client (hors services liés au Cloud, rassure la firme) : l'e-mail, l'adresse IP, la localisation, la cause de l'appel et les dossiers assimilés à un cas donné, les conversations de l'agent technique, les commentaires, le numéro de dossier, les résolutions de problèmes et les notes internes assignées "confidentielles" ont donc fuité entre le 5 et le 31 Décembre 2019.

L'un des dangers les plus palpables, selon l'équipe sécuritaire, est l'approche frauduleuse de la victime : la personne usurpe l'identité (scam) d'un agent technique par mail ou téléphone voire demande un mot de passe (mail) : il est clairement (re)expliqué que le premier contact vers le SAV Microsoft est du fait de l'usager et non de Microsoft. De plus, tout comme la plupart des établissements bancaires par exemple, il n'est jamais demandé par mail, encore une fois, une réinitialisation de mot de passe. L'heure sera donc à la vigilance pour ceux et celles ayant contacté le CSS (Customer Service and Support) entre 2005 et 2019.

Outre toute une kyrielle d'outils pour administrateurs-système qui sont (re)mis à disposition dans le doute, Microsoft présente ses excuses et affirme avoir, depuis, mis en place une batterie d'audit avec des alertes préventives en cas d'intrusion inopinés dans de telles bases de données... A veiller !

 

Sources :