Microsoft a laissé 250 millions de dossiers de service client exposés sur le Web, en accès ouvert. Comparitech, un comparateur de solutions de sécurité, qui révèle cette fuite, indique avoir contacté Microsoft, qui a, depuis, résolu le problème.
Dans ces dossiers, on pouvait retrouver les données personnelles des personnes ayant contacté le service client de Microsoft : adresses e-mail des clients, adresses IP et descriptions des cas. « Les enregistrements contenaient des journaux de conversations entre les agents de support Microsoft et les clients du monde entier, couvrant une période de 14 ans de 2005 à décembre 2019. L’ensemble des données ont été laissées accessibles à toute personne disposant d’un navigateur Web, sans mot de passe ou autre authentification nécessaire. » indique l’expert Paul Bischoff, dans un billet de blog de Comparitech.
L’équipe de recherche en sécurité du comparateur a découvert cinq serveurs Elasticsearch, dont chacun contenait un ensemble apparemment identique des 250 millions d’enregistrements.
Emails, descriptions des cas et notes « confidentielles »
Outre les e-mails des clients, adresses IP et descriptions des cas, s’y trouvaient également les e-mails des agents de support Microsoft, des remarques et des notes internes marquées comme « confidentielles ». Au total, les données ont été exposées pendant environ deux jours après leur découverte, indique Paul Bischoff, avant que soit alerté Microsoft et que les enregistrements soient sécurisés.
Reste cette inconnue : personne ne sait si un ou des acteurs malveillants ont pu accéder à ces données. Si oui, cela pourrait donner lieu notamment à des campagnes de phishing. « Même si la plupart des informations personnellement identifiables ont été supprimées des enregistrements, les dangers de cette exposition ne doivent pas être sous-estimés. » L’expert évoque de possibles escrocs contactant les utilisateurs, par mail ou téléphone, et se faisant passer pour un représentant du support Microsoft.
Des règles de sécurité mal configurées, selon Microsoft
Dans une publication sur le Microsoft Security Response Center (MSRC) datée du 22 janvier, Ann Johnson, Corporate Vice President Cybersecurity Solutions Group,
et Eric Doerr, General Manager Microsoft Security Response Center, ont déclaré que « l’enquête n’a révélé aucune utilisation malveillante et bien que la plupart des clients n’aient pas exposé d’informations personnellement identifiables, nous voulons être transparents sur cet incident avec tous les clients et les assurer que nous le prenons très au sérieux, et nous tenons pour responsables. »
Cette publication confirme que l’exposition de la base de données a commencé le 5 décembre 2019, en raison de règles de sécurité mal configurées, et a été corrigée le 31 décembre. « Nous avons des solutions pour éviter ce genre d’erreur [de configuration], mais malheureusement, elles n’ont pas été activées pour cette base de données », avouent les deux responsables.
Paul Bischoff rappelle que ce n’est pas le premier incident de sécurité des données chez Microsoft. En 2013, des pirates informatiques sont entrés dans la base de données secrète de l’entreprise pour suivre les bogues dans son logiciel. Une violation qui n’a jamais été officiellement divulguée au public, mais que Reuters a confirmé, ayant pour sources cinq anciens employés.
Entre janvier et mars 2019, des pirates ont compromis le compte d’un agent de support Microsoft. La société avait alors déclaré qu’il était possible que les pirates aient pu accédé au contenu de certains comptes d’utilisateurs Outlook.
