Microsoft ha confermato un incidente di sicurezza che ha esposto sul web quasi 250 milioni di record del “Servizio clienti e supporto” (CSS) a causa di una configurazione errata di un database di supporto clienti interno. I record contenevano i log delle conversazioni tra il suo team di supporto e i clienti di tutto il mondo.
In un post sul blog Microsoft fa saper che l’incidente è stato causato da una modifica, apportata il 5 dicembre 2019 al database del network security group, contenente regole di sicurezza errate che lasciavano i dati non protetti. Sempre nello stesso comunicato Microsoft dichiara che dopo la notifica, il 31 dicembre 2019 gli ingegneri hanno provveduto a correggere la configurazione.
Il database non protetto è stato individuato dal team di ricerca sulla sicurezza di Comparitech guidato da Bob Diachenko: gli esperti hanno scoperto cinque server Elasticsearch, ognuno dei quali conteneva un set apparentemente identico di 250 milioni di record. Diachenko ha immediatamente avvisato Microsoft dopo aver scoperto i dati esposti e Microsoft ha intrapreso un’azione rapida per proteggerli.
“Ho immediatamente segnalato questo a Microsoft e entro 24 ore tutti i server sono stati protetti. Mi congratulo con il team di supporto MS per la reattività e la rapida inversione di tendenza, nonostante il capodanno”, ha dichiarato Diachenko.
Microsoft ha dichiarato che, come parte delle procedure operative standard, i dati memorizzati nel database di analisi dei casi di supporto vengono redatti utilizzando strumenti automatizzati per rimuovere le informazioni personali.
“Le nostre indagini hanno confermato che la stragrande maggioranza dei registri è stata cancellata dalle informazioni personali in conformità con le nostre pratiche standard. In alcuni scenari, i dati potrebbero non essere stati modificati se soddisfano determinate condizioni. Purtroppo le configurazioni errate sono un errore comune in tutto il settore. Abbiamo soluzioni per aiutare a prevenire questo tipo di errore, ma sfortunatamente non sono state abilitate per questo database. Come abbiamo appreso, è bene rivedere periodicamente le proprie configurazioni e assicurarsi di sfruttare tutte le protezioni disponibili”, ha dichiarato Microsoft.
Microsoft ha anche ringraziato il ricercatore Bob Diachenko per aver lavorato a stretto contatto permettendole di risolvere rapidamente questa errata configurazione, e per aver inoltre contribuito all’ indagine dell’incidente e alla notifica ai clienti nel modo appropriato.
https://msrc-blog.microsoft.com/2020/01/22/access-misconfiguration-for-customer-support-database/
https://www.comparitech.com/blog/information-security/microsoft-customer-service-data-leak/