[27/01/2020] Microsoft ha admitido que expuso accidentalmente los datos de los clientes y agentes después de un error de seguridad cometido durante el período de Año Nuevo.
De acuerdo con la firma de investigación Comparitech, que descubrió la falla, 250 millones de registros de servicio y soporte al cliente (CSS) fueron expuestos en línea durante dos días antes del día de Año Nuevo.
Microsoft ha admitido su responsabilidad por el lapso, alegando que un cambio realizado al grupo de seguridad de la red de la base de datos el 5 de diciembre del 2019 contenía reglas de seguridad mal configuradas que permitían la exposición de los datos.
Los registros contenían registros de conversaciones entre los agentes de soporte técnico de Microsoft y los clientes globales que abarcaban un período de 14 años a partir del 2005.
"Todos los datos se dejaron accesibles a cualquier persona con un navegador web, sin necesidad de contraseña u otro tipo de autenticación", reveló una entrada del blog de Comparitech.
Al ser alertado por el principal investigador de seguridad cibernética, Bob Diachenko, el 29 de diciembre, Microsoft aseguró los servidores y los datos en un plazo de 24 horas.
Los datos no contenían información personal identificable y no afectaron a los servicios de la nube Azure del gigante del software.
Los datos expuestos incluían direcciones de correo electrónico de clientes y agentes, direcciones IP, ubicaciones, reclamaciones y casos de CSS y notas internas marcadas como "confidenciales".
Aunque no es un riesgo inmediato para los clientes, Comparitech advirtió que los efectos de la exposición no deben ser subestimados.
En particular, los datos podrían ser valiosos para los estafadores de soporte técnico, que pueden utilizar la información para hacerse pasar por personal de Microsoft y usarla en estafas de phishing o de secuestro de dispositivos.
El investigador emitió una advertencia a los usuarios para que estuvieran atentos a posibles estafas, ya sea por correo electrónico o por teléfono, haciendo hincapié en que el proveedor normalmente nunca proporcionaría soporte técnico de forma proactiva.
Tres semanas después de la exposición, Microsoft emitió una disculpa de contrición a los clientes en una entrada del blog de la compañía.
"Queremos ser transparentes sobre este incidente con todos los clientes y asegurarles que nos lo tomamos muy en serio y nos hacemos responsables", admitió Microsoft en el blog con fecha 22 de enero.
"Las malas configuraciones son, por desgracia, un error común en toda la industria. Tenemos soluciones para ayudar a prevenir este tipo de error, pero desafortunadamente, no fueron habilitadas para esta base de datos. Como hemos aprendido, es bueno revisar periódicamente sus propias configuraciones y asegurarse de que está aprovechando todas las protecciones disponibles".
En un esfuerzo por prevenir más incidentes, Microsoft dijo que ahora auditaría las reglas de seguridad de la red para los recursos internos y ampliaría el alcance de los mecanismos para detectar las malas configuraciones de las reglas de seguridad.
Además, también añadirá más alertas para las malas configuraciones de las reglas e implementará más automatización de la redacción.
Eleanor Dickinson, ARNnet