Le informazioni personali erano custodite in un database non configurato correttamente e potevano essere lette da chiunque. Il colosso di Redmond dichiara di aver risolto il problema lo scorso 30 dicembre e di non aver trovato prove di un uso improprio dei dati
A causa dell’errata configurazione di un database utilizzato dal supporto clienti per l’analisi dei casi, Microsoft ha esposto per sbaglio i dati di 250 milioni di clienti. A confermarlo, tramite un post sul proprio blog, è lo stesso colosso di Redmond, che sottolinea però di aver già risolto il problema e di essere al lavoro per impedire che in futuro possano verificarsi altri episodi simili. I dati trapelati includevano quelli forniti dai clienti durante le conversazioni con gli agenti dell’assistenza di Microsoft registrate dal 2005 al dicembre 2019.
I dati trapelati
All’interno del database di assistenza clienti e supporto di Microsoft, liberamente consultabile da chiunque, erano presenti vari dati tra cui:
• Indirizzi email dei clienti
• Indirizzi IP
• Informazioni sulla localizzazione
• Le descrizioni delle richieste di supporto
• Email dell’agente di supporto Microsoft
• Numero del caso, dettagli sulla risoluzione ed eventuali note
• Note interne del servizio di assistenza contrassegnate come “confidenziali”.
Le informazioni sono rimaste accessibili in rete per almeno due giorni. Sono stati gli esperti della società di sicurezza Comparitech a individuare il database non configurato correttamente e a segnalare l’accaduto a Microsoft lo scorso 29 dicembre. Nell’arco di 24 ore la compagnia di Redmond è riuscita a risolvere il problema. Bob Dicnhenko, uno dei ricercatori di sicurezza di Comparitech, si è congratulato con il team di supporto per l’intervento tempestivo.
L’uso dei dati esposti
Stando a quanto dichiarato da Microsoft, non ci sono prove di un utilizzo inappropriato dei dati esposti, che comunque erano perlopiù celati e non in chiaro. Questa dichiarazione non coincide del tutto con quanto scoperto da Comparitech: secondo gli esperti della società di sicurezza, infatti, alcune informazioni sensibili, come email e indirizzi IP, erano memorizzate in testo semplice e facilmente consultabili da chiunque.
Un precedente simile
Lo scorso dicembre, gli esperti di Comparitech hanno individuato un problema simile in un database di Facebook contenente i dati personali di 267 milioni di utenti, che per circa due settimane è rimasto online, liberamente consultabile da chiunque.
