Cuidado

A finales del año 2019 se supo que Microsoft expuso casi 250 millones de registros de Servicio y Soporte al Cliente (CSS) en la web. Hay constancia de que contenían registros de conversaciones entre los agentes de soporte técnico de Microsoft clientes de todo el mundo, que abarcaban un período de 14 años desde 2005 hasta diciembre de 2019. Todos los datos se dejaron accesibles a cualquier persona con un explorador web, sin necesidad de contraseña u otro tipo de autenticación.

El equipo de investigación de seguridad de Comparitech, dirigido por Bob Diachenko, descubrió cinco servidores de Elasticsearch, cada uno de los cuales contenía un conjunto aparentemente idéntico de los 250 millones de registros. Diachenko notificó inmediatamente a Microsoft cuando descubrió los datos expuestos, y Microsoft tomó medidas rápidas para protegerlos.

En total, los datos estuvieron expuestos durante unos dos días antes de que se alertara a Microsoft y los registros estuvieran seguros.

  • 28 de diciembre de 2019 – Las bases de datos fueron indexadas por el motor de búsqueda BinaryEdge.
  • 29 de diciembre de 2019 – Diachenko descubrió las bases de datos e inmediatamente notificó a Microsoft.
  • 30-31 de diciembre de 2019 – Microsoft aseguró los servidores y los datos. Diachenko y Microsoft continuaron con el proceso de investigación y reparación.
  • 21 de enero de 2020 – Microsoft reveló detalles adicionales sobre la exposición como resultado de la investigación.

“Inmediatamente informé de esto a Microsoft y en 24 horas todos los servidores estaban asegurados”, dijo Diachenko. “Aplaudo al equipo de soporte de MS por su capacidad de respuesta y rápida respuesta a pesar de la víspera de Año Nuevo”.

No sabemos si otras partes no autorizadas accedieron a la base de datos durante ese tiempo.

¿Qué datos fueron expuestos?

Diachenko explica que la mayor parte de la información de identificación personal – alias de correo electrónico, números de contrato e información de pago – fue eliminada. Sin embargo, muchos registros contenían datos en texto plano, incluyendo:

  • Direcciones de correo electrónico de los clientes.
  • Direcciones IP.
  • Ubicaciones.
  • Descripciones de las reclamaciones y casos de CSS.
  • Correos electrónicos del agente de soporte técnico de Microsoft.
  • Números de casos, resoluciones y observaciones.
  • Notas internas marcadas como “confidenciales”.

 

Fuente: Original. | maslinux

¿Quién está en línea?

Hay 3342 invitados y ningún miembro en línea