Cinco bases de datos idénticas de Elasticsearch que contienen 250 millones de registros de incidentes de soporte al cliente de Microsoft fueron expuestos en Internet para que todos lo vean durante al menos dos días a fines de 2019.
El 28 de diciembre de 2019, BinaryEdge encontró estas bases de datos , que rastrea Internet buscando datos expuestos. Esto fue recogido por el investigador de seguridad Bob Diachenko, quien informó el problema a Microsoft.
Microsoft aseguró las bases de datos entre el 30 y el 31 de diciembre, ganando elogios de Diachenko por "una actuación rápida a pesar de [ser] la víspera de Año Nuevo".
Es hasta cierto punto una buena noticia para los clientes cuyos datos fueron expuestos. Lo que han descubierto los investigadores de seguridad también puede haber sido encontrado por delincuentes.
¿Qué datos se publicaron? Estos son registros de servicio al cliente e interacciones de soporte entre 2005 hasta el día de hoy. La buena noticia es que "la mayor parte de la información de identificación personal (alias de correo electrónico, números de contrato e información de pago) fue redactada", según Comparitech . Sin embargo, un subconjunto contenía datos de texto sin formato que incluían direcciones de correo electrónico, direcciones IP, descripciones de casos, correos electrónicos del soporte de Microsoft, números de casos y "notas internas marcadas como confidenciales".
Armado con esta información, hay un amplio margen para identificar a los clientes, aprender más sobre sus sistemas internos de TI si son empresas y utilizar los datos para actividades como hacerse pasar por el soporte de Microsoft y, por lo tanto, obtener acceso a computadoras personales o redes comerciales. "Solo un seguimiento rápido del caso xxxx ..."
Eric Doerr, gerente general del Centro de Respuesta de Seguridad de Microsoft (MSRC), dijo: "Estamos agradecidos con Bob Diachenko por trabajar estrechamente con nosotros para que podamos solucionar rápidamente esta configuración incorrecta, analizar datos y notificar a los clientes según corresponda. "
Todavía no está claro cuántos de los registros incluyen información identificable, ni cómo se desglosan en términos de interacciones comerciales versus consumidores. Le hemos pedido a Microsoft un comentario y lo actualizaremos con la información recibida. Microsoft ha publicado más información sobre el incidente aquí.
A pesar de la ausencia de datos financieros o de nombre de usuario / contraseña en la base de datos filtrada, el incidente es vergonzoso para Microsoft, lo que socava sus esfuerzos para mantener a sus clientes seguros.
Las llamadas del falso personal de soporte de Microsoft no son nada nuevo; están tan extendidas que la mayoría de nosotros hemos recibido algunos. Lo diferente ahora es que pueden estar mejor informados que antes, por lo que la solución es ser aún más cauteloso.
Fuente: The Register
0 Comentarios