LEBIGDATA.FR I.A, Cloud & Cybersécurité
Microsoft a laissé une base de données contenant plus de 250 millions d'enregistrements exposée sur le web. Cette database regroupait 14 années de conversations entre les clients de la firme et le SAV…
Les chercheurs en sécurité de Comparitech ont récemment découvert une base de données exposée sur le web sans protection. Cette database appartenait à Microsoft, et contenait plus de 250 millions d'enregistrements.
Après avoir été avertie par Comparitech, Microsoft a admis l'existence de cette fuite. Selon un article intitulé Access Misconfiguration for Customer Support Databases et publié par la firme, la base de données Cloud a été exposée entre le 5 décembre et le 31 décembre 2019.
Selon les chercheurs, il s'agissait d'une base de données contenant des enregistrements de conversations entre les agents du service client Microsoft et les clients du monde entier. Ces données en provenance des centres d'appel sont analysées par Microsoft afin d'améliorer son service client.
Les enregistrements contenus sur la database couvraient une vaste période s'étendant de 2005 à décembre 2019 soit un total de 14 ans. Les données étaient accessibles sur cinq serveurs Elasticsearch différents.
https://www.youtube.com/watch?v=sKnkQSec1U0
Microsoft avait pris soin d'anonymiser les données
Suite à cette erreur grossière, Microsoft affirme que la grande majorité des enregistrements exposés ne devaient contenir aucune information personnelle permettant d'identifier les clients concernés. Les données ont été anonymisées grâce à des outils automatisés permettant de chercher et de supprimer toute information personnelle.
Cependant, certaines des données censées être supprimées n'ont pas été détectées et sont restées visibles. En guise d'exemple, l'entreprise américaine cite les adresses email auxquelles un espace a été ajouté par erreur. De telles adresses n'ont pas été reconnues comme données sensibles par les outils automatiques, et n'ont donc pas été supprimées.
On ignore pour l'instant combien de clients sont concernés par cette vaste fuite. Cependant, Microsoft promet de notifier chaque victime dans les plus brefs délais et assure n'avoir trouvé » aucune trace d'un usage malfaisant » de ces informations divulguées.
Si vous n'avez jamais contacté le service client de Microsoft, il n'y a aucune raison que vos données soient compromises par cette fuite. Si vous n'avez pas été contacté par Microsoft alors que vous avez contacté le service client entre 2005 et 2019, cela signifie a priori que vous n'êtes pas concerné par la fuite ou que vos informations étaient anonymisées.
Néanmoins, Microsoft prévient que les emails en fuite pourraient être utilisés par des hackers pour orchestrer des campagnes de phishing en se faisant passer pour le service client. Si vous recevez un mail de Microsoft, même s'il semble authentique, ne cliquez en aucun cas sur un lien. Vous risqueriez d'être redirigé vers une fausse page d'identification visant à dérober vos identifiants…
Cette fuite de données impressionne par le nombre d'enregistrements compromis, mais sa gravité reste modérée grâce aux précautions prises par Microsoft. Néanmoins, cet incident prouve que même les géants du Cloud ne sont pas à l'abri d'une étourderie aux conséquences fâcheuses…
- Partager l'article :
