Header Ads

Home / Microsoft / Notícias / A Microsoft expôs 250 milhões de registros de atendimento ao cliente devido a 'configuração incorreta' do banco de dados interno

A Microsoft expôs 250 milhões de registros de atendimento ao cliente devido a 'configuração incorreta' do banco de dados interno

quarta-feira, janeiro 22, 2020 ,

Sede da Microsoft em Redmond, Washington (GeekWire Photo / Monica Nickelsburg)

A Microsoft expôs aproximadamente 250 milhões de registros de atendimento ao cliente devido ao que a empresa chamou de "configuração incorreta de um banco de dados interno de suporte ao cliente" usado para rastrear casos de suporte.

A empresa de análise técnica Comparitech e o pesquisador de segurança Bob Diachenko descobriram os registros expostos. A equipe de pesquisa de segurança da Comparitech descobriu vários "servidores Elasticsearch", que incluíram 14 anos de registros de conversas entre representantes de suporte da Microsoft e clientes de todo o mundo.

Em uma postagem no blog sobre o incidente, a Microsoft disse que o problema surgiu de uma alteração no banco de dados de 5 de dezembro que "continha regras de segurança mal configuradas que permitiam a exposição dos dados". Comparitech e Diachenko notificaram a Microsoft sobre o problema em 31 de dezembro. , e o gigante da tecnologia rapidamente tomou medidas para corrigi-lo.

"Infelizmente, as configurações incorretas são um erro comum em todo o setor", escreveu a Microsoft na postagem do blog. "Temos soluções para ajudar a evitar esse tipo de erro, mas, infelizmente, elas não foram ativadas para esse banco de dados".

A Microsoft disse que o problema era específico do banco de dados de suporte e não reflete a exposição de seus serviços em nuvem comercial. Segundo a política da empresa, as informações armazenadas no banco de dados foram editadas para remover informações pessoais, informou a Microsoft.

"Nossa investigação confirmou que a grande maioria dos registros foi limpa de informações pessoais de acordo com nossas práticas padrão", de acordo com a publicação do blog. "Em alguns cenários, os dados podem não ter sido reduzidos se atenderem a condições específicas."

Diachenko e Comparitech encontraram dados em texto sem formatação em muitos dos registros que contêm informações como endereços e locais de email do cliente, endereços IP, notas confidenciais internas e emails do agente de suporte da Microsoft

A investigação da Microsoft não encontrou nenhum uso malicioso dos dados.

A Comparitech observou que esse tipo de incidente geralmente pode levar a "golpes de suporte técnico", onde hackers fingem ser agentes de atendimento ao cliente para obter acesso às informações pessoais dos usuários. Se os hackers vissem esses dados, eles poderiam lançar esquemas de suporte técnico muito eficazes, porque teriam acesso aos registros de atendimento ao cliente e números de casos, fazendo com que suas tentativas de entrar em contato com as pessoas parecessem legítimas.

Um relatório recente da Risk Based Security constatou que, nos primeiros nove meses de 2019, 7,9 bilhões de registros pessoais foram expostos a violações de dados. O tipo de incidente mais comum foi o interno acidental, expondo os registros dos clientes sem a presença de um hack.

Via: Geek Wire

Nenhum comentário

Assinar: Postar comentários ( Atom )