fbpx

Per via di un errore Microsoft ha lasciato esposti online milioni di dati relativi al servizio di assistenza e supporto interno. A rivelarlo la stessa azienda in un post sul blog ufficiale: il problema è stato scoperto prima da un team di ricercatori di sicurezza capitanato da Bob Diachenko, con il database esposto sul web che contava ben 250 milioni di voci registrate provenienti dal servizio d’assistenza e dai log di supporto.

Secondo quanto dichiarato da Microsoft, il database è stato reso disponibile online per via di un errore: nella fattispecie l’azienda parla di un’errata configurazione nelle regole di sicurezza per via di alcuni cambiamenti fatti il 5 dicembre. Nonostante il problema sia emerso durante le festività Microsoft è stata in grado di riparare all’errore con relativa velocità, visto che tutti i dati sono stati messi in sicurezza il 31 dicembre.

I dati contenevano informazioni legate alle conversazioni avvenute fra i clienti e i team di supporto di Microsoft, e si tratta di dati che tipicamente i tecnici Microsoft raccolgono all’interno di file di log come parte della procedura standard adottata dall’azienda. Alcuni dati, tuttavia, non sono stati protetti con crittografia, e fra questi informazioni sensibili come indirizzi e-mail utili per i clienti o per i tecnici, indirizzi IP, posizioni geografiche, note interne confidenziali.

Come segnalato dal team di ricerca che ha scoperto il problema di sicurezza, le informazioni potrebbero essere usate da attori malevoli, i quali possono fingere di essere un dipendente del servizio d’assistenza ufficiale Microsoft per ottenere dati privati dagli utenti. Nella pratica, però, Microsoft ha dichiarato di non aver scoperto alcuna prova di uso improprio dei dati e si è detta impegnata a impedire che questo tipo di situazione possa accadere nuovamente.

L’azienda ha iniziato ad attuare una serie di procedure che prevedono un controllo più diretto della sicurezza della rete in loco, avvisi aggiuntivi quando errate configurazioni vengono messe in atto e l’implementazione di attività di revisione automatizzate. La compagnia ha notificato privatamente tutti i clienti i cui dati sono stati esposti senza alcuna protezione.