Microsoft : une erreur du support client a exposé 250 millions de dossiers sensibles

Ouf, c'est réglé !

 

Suite à une erreur sur sa plateforme de service client, Microsoft a exposé temporairement 250 millions de dossiers sensibles sur ses utilisateurs. Heureusement, le problème a été réglé avant d'être tout récemment divulgué.

Crédits image : Wonderlane sur Flickr

250 millions de dossiers contenant des données sensibles ont été exposés par erreur par Microsoft, et plus précisément par son service client. C’est en effet ce que révèlent les équipes de Comparitech, un site spécialisé dans la comparaison des solutions de sécurité et de confidentialité. Les éléments ainsi mis en péril contenaient des métadonnées de conversations entre les agents de la firme de Redmond et les utilisateurs sur une période de 14 ans s’étalant de 2005 à décembre 2019.

L’équipe spécialisée de Comparitech note ainsi que cette fuite de données a exposé les informations qui suivent :

  • des adresses mail des clients ;
  • des adresses IP ;
  • des descriptions des réclamations et des cas traités par le service client et support ;
  • des emails des agents de Microsoft ;
  • des numéros des cas, résolutions et remarques ;
  • des notes internes marquées comme « confidentielles ».

Problème réglé

Une frise chronologique de cette affaire a été publiée. Ainsi, on apprend que ces 250 millions de dossiers s’étaient retrouvés indexés sur le moteur de recherche BinaryEdge le 28 décembre 2019. Comparitech repère le souci le lendemain et prévient Microsoft qui règle le problème les 30 et 31 décembre tout en ouvrant une enquête afin de déterminer ce qu’il s’est passé. L’affaire est ensuite publiquement révélée le 21 janvier 2020.

Pour aller plus loin
Jeff Bezos hacké sur WhatsApp

Microsoft aura donc très rapidement réagi pour sécuriser cette base de données sensibles. Reste une question : comment cela a-t-il pu arriver ?

Les explications de Microsoft

D’une part, le géant américain explique que son enquête ne révèle aucune utilisation malveillante de ces données pendant qu’elles étaient exposées. Ensuite, la firme explique que le souci est dû à une mauvaise configuration des règles de sécurité intervenue au moment de la mise à jour d’une fonctionnalité de sa plateforme Azure, le 5 décembre 2019.

Les erreurs de configuration sont malheureusement courantes dans le secteur. Nous avons des solutions pour éviter ce genre d’erreurs, mais malheureusement, elles n’ont pas été activées pour cette base de données. Comme nous l’avons appris, il est bon de revoir périodiquement vos propres configurations et de vous assurer que vous profitez de toutes les protections disponibles.

Rappelons que l’OS Windows 10 a été lui aussi exposé à une grosse faille de sécurité, nécessitant carrément l’intervention de la NSA.


Retrouvez un résumé du meilleur de l’actu tech tous les matins sur WhatsApp, c’est notre nouveau canal de discussion Frandroid que vous pouvez rejoindre dès maintenant !