Si se ha puesto en contacto con Microsoft para solicitar asistencia técnica en los últimos 14 años, su consulta técnica, junto con alguna información personal identificable, puede haber estado en peligro.
Microsoft ha admitido hoy un incidente de seguridad que ha puesto al descubierto casi 250 millones de registros de «Servicio y soporte técnico al cliente» en Internet debido a un servidor mal configurado que contiene registros de conversaciones entre su equipo de soporte técnico y los clientes.
De acuerdo con Bob Diachenko, el investigador de seguridad que detectó el problema e informó a Microsoft, la base de datos desprotegida contenía registros desde 2005 hasta diciembre de 2019.
En una entrada de blog, Microsoft confirmó que debido a la mala configuración de las reglas de seguridad añadidas al servidor en cuestión el 5 de diciembre de 2019, se permitió la exposición de los datos. El servidor permaneció en ese estado hasta que los ingenieros corrigieron la configuración el 31 de diciembre de 2019.
Microsoft también comunicó que la base de datos se construyó utilizando herramientas automatizadas para eliminar la información que identificaba de forma personal a la mayoría de los clientes, excepto en algunos escenarios, en los que dicha información no cumplía el formato estándar.
«Nuestra investigación confirmó que la gran mayoría de los registros fueron eliminados de la información personal, de acuerdo con nuestras prácticas estándar», dijo Microsoft.
Sin embargo, según Diachenko, muchos registros de la base de datos filtrada contenían datos legibles sobre los clientes, incluyendo:
· Direcciones de correo electrónico
· Direcciones IP
· Localizaciones
· Descripciones de las reclamaciones y casos de CSS
· Correos electrónicos del agente de soporte técnico de Microsoft
· Números de casos, resoluciones y observaciones
· Notas internas marcadas como "confidenciales"
«Este problema era específico de una base de datos interna utilizada para el análisis de casos de soporte y no representa una exposición de nuestros servicios comerciales en la nube«, dijo Microsoft.
Al tener a mano información real de casos sensibles y direcciones de correo electrónico de los clientes afectados, los datos filtrados podrían ser objeto de abuso por parte de estafadores de soporte técnico para engañar a los usuarios y hacerles pagar por problemas informáticos inexistentes, haciéndose pasar por representantes de soporte de Microsoft.
«La ausencia de información de identificación personal es irrelevante aquí, dado que los registros de soporte técnico frecuentemente exponen a los clientes VIP, sus sistemas internos y configuraciones de red, e incluso las contraseñas. Los datos son una mina de oro para los criminales pacientes que buscan atacar las grandes organizaciones y los gobiernos», dijo el director de operaciones de ImmuniWeb Ekaterina Khrustaleva a The Hacker News.
«Peor aún, muchas grandes empresas y no sólo Microsoft han perdido la visibilidad de su superficie de ataque externo, exponiendo a sus clientes y socios a riesgos significativos. Es probable que veamos una multitud de incidentes similares en 2020».
Un trabajador de Microsoft, Roger Grimes, compartió:
«Habiendo trabajado para Microsoft durante 15 años, 11 años como empleado a tiempo completo, he visto de primera mano lo mucho que tratan de luchar contra escenarios como éste. Hay múltiples capas de control y educación diseñadas para evitar que esto suceda. Y te muestra lo difícil que es prevenirlo el 100% del tiempo. Nada es perfecto. Los errores y las fugas ocurren. Las organizaciones tienen permisos demasiado permisivos. ¡Todas! Es sólo cuestión de si alguien fuera de la organización lo descubre o si alguien se aprovecha de ello».
«En este caso, por muy malo que sea, fue descubierto por alguien que no hizo cosas maliciosas con él. Claro que los datos, al estar desprotegidos, también podrían haber sido utilizados por los malos, pero hasta ahora nadie ha planteado ese caso ni ha aportado pruebas de que haya sido utilizado de forma maliciosa», añadió Grimes.
«Cualquiera puede cometer un error. La pregunta más importante es cómo ocurrió el error y cómo evitar que ocurra la próxima vez y si pudo haber ocurrido algún otro en las mismas circunstancias».
Como resultado de este incidente, la compañía comunicó que comenzó a notificar a los clientes afectados cuyos datos estaban presentes en la base de datos expuesta de Servicio y Soporte al Cliente.
Más información:
Comunicado de Microsoft
https://msrc-blog.microsoft.com/2020/01/22/access-misconfiguration-for-customer-support-database/
Comparitech
https://www.comparitech.com/blog/information-security/microsoft-customer-service-data-leak/
The Hacker News
https://thehackernews.com/2020/01/microsoft-customer-support.html