Un error interno dejó expuestos los datos del servicio al cliente de Microsoft


Los registros de servicio al cliente de millones de usuarios de Microsoft quedaron expuestos y accesibles en Internet pública durante más de tres semanas después de que un cambio realizado en un grupo de seguridad de red de base de datos a principios de diciembre de 2019 contenía reglas de seguridad mal configuradas.

Los registros expuestos incluyeron registros de conversaciones entre agentes de servicio al cliente genuinos de Microsoft y usuarios finales de todo el mundo, que abarcan 14 años desde 2005 hasta 2019. Los datos también incluyeron direcciones de correo electrónico de clientes, direcciones IP, ubicaciones, descripciones de casos, agente de soporte correos electrónicos, números de casos y resoluciones, y algunos documentos internos almacenados en texto plano, aunque la mayoría de la información de identificación personal (PII) fue redactada.

La fuga fue detectada por El equipo de seguridad de Comparitech junto al investigador de seguridad Bob Diachenko, que encontraron cinco servidores Elasticsearch que contenían un conjunto de registros aparentemente idéntico, sin contraseña u otra autenticación necesaria para acceder a él. Microsoft fue informado de la situación el 29 de diciembre, y los servidores y los datos fueron protegidos el 31 de diciembre.

Deberías leer:   Por qué los subtítulos de repente están en todas partes y cómo llegaron allí

“Inmediatamente informé esto a Microsoft y en 24 horas, todos los servidores estaban protegidos”, dijo Diachenko. “Aplaudo al equipo de soporte de MS por su capacidad de respuesta y respuesta rápida a esto, a pesar de la víspera de Año Nuevo”.


Centro de respuesta de seguridad de Microsoft El gerente general Eric Doerr agregó: “Estamos agradecidos con Bob Diachenko por trabajar estrechamente con nosotros para que podamos solucionar rápidamente esta configuración incorrecta, analizar datos y notificar a los clientes según corresponda”.

No se sabe si alguien más accedió o no a los datos del cliente durante el tiempo que estuvo expuesto. Sin embargo, aunque la mayoría de la PII no era visible, los datos podrían tener valor para los estafadores de soporte técnico, y los clientes ahora pueden estar en mayor riesgo de tales estafas.

Los estafadores de soporte técnico a menudo se aprovechan de los clientes de Microsoft en sus intentos de phishing. En general, adoptan una especie de enfoque de “rociar y rezar” para atacar a sus víctimas, rastrear listas de números de teléfono o correos electrónicos extraídos de otras violaciones de datos y hacerse pasar por agentes de soporte técnico de Microsoft.

Deberías leer:   CoinFlex emite una nueva moneda para recaudar fondos después de que el inversor no paga la deuda

Microsoft nunca se pone en contacto de manera proactiva con los clientes para resolver cualquier problema tecnológico, y los agentes legítimos de soporte técnico de Microsoft no tienen la facultad de solicitar contraseñas o solicitar que alguien instale aplicaciones de escritorio remotas, una táctica de estafa común.

Debido a estas políticas, cualquier usuario final razonablemente bien informado puede detectar fácilmente las estafas de soporte técnico, pero gracias a la prevalencia global del sistema operativo Windows, siempre habrá algunos objetivos que serán víctimas.

Lo que hace que esta violación potencial sea más grave es que con los registros y la información de casos relacionados con las llamadas de soporte técnico genuinas de Microsoft, los estafadores tienen una probabilidad ligeramente mayor de éxito y estarán en mejores condiciones de realizar phishing para obtener información más confidencial.

Microsoft dijo que estaba comprometido con la privacidad y seguridad de sus clientes consumidores y que estaba tomando medidas para evitar que tal fuga vuelva a ocurrir. Entre otras cosas, está llevando a cabo una auditoría interna de sus reglas de seguridad de red que cubren los recursos internos, ampliando el alcance de los mecanismos que utiliza para detectar configuraciones incorrectas de seguridad, agregando nuevas alertas y tomando medidas para implementar una mejor automatización de la redacción de PII.

Deberías leer:   La Corte Suprema limitó el poder de la EPA, entonces, ¿qué sucede ahora?

“La mala configuración es, lamentablemente, un error común en toda la industria”, escribieron Doerr y la vicepresidenta de seguridad de Microsoft, Ann Johnson. en un blog de divulgación. “Tenemos soluciones para ayudar a prevenir este tipo de error, pero desafortunadamente, no estaban habilitadas para esta base de datos. Como hemos aprendido, es bueno revisar periódicamente sus propias configuraciones y asegurarse de aprovechar todas las protecciones disponibles.

“Queremos disculparnos sinceramente y asegurarles a nuestros clientes que nos lo tomamos en serio y que trabajamos diligentemente para aprender y tomar medidas para evitar cualquier recurrencia futura”.

Pilar Benegas

Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.