Microsoft expuso accidentalmente 250 millones de registros de servicio al cliente

0
25

No ha sido el mejor inicio de año para Microsoft. El jueves pasado la compañía reveló un error en la base de datos que dejó temporalmente expuestos 250 millones de registros de servicio al cliente y soporte para cualquiera que tuviera un navegador web.

El investigador de seguridad Bob Diachenko y Comparitech descubrieron esta vulnerabilidad el 29 de diciembre pasado y Microsoft tuvo que ponerse la pilas y resolver el problema tan sólo dos días después.

La brecha de seguridad fue causada por una configuración incorrecta en una de las bases de datos internas de soporte al cliente y, según la propia compañía, no encontró evidencia de uso malicioso.

El servidor incluía registros de conversaciones que datan desde 2005 entre el personal de soporte de Microsoft y clientes de todo el mundo. Según Comparitech, la base de datos no estaba protegida con contraseña alguna.

¿Cuál es el problema de esta brecha de seguridad?

Aunque Microsoft asegura que la gran mayoría de los datos personales que fueron expuestos fueron eliminados, Comparitech señala que cierta información, como el correo electrónico y las direcciones IP, se almacenó en texto sin formato. Esto significa que si alguien hubiera podido acceder a los registros, podrían haberlos utilizado para suplantar más fácilmente al personal de soporte de la compañía en un esquema de phishing.

Microsoft se disculpó por este hecho

“Queremos disculparnos sinceramente y asegurarles a nuestros clientes que nos lo tomamos en serio y que trabajamos diligentemente para aprender y tomar medidas para evitar cualquier recurrencia futura”.

La compañía comenzó a notificar a las personas cuyos datos se almacenaron en la base de datos, mientras que Microsoft dice que planea auditar sus reglas de seguridad internas, así como implementar herramientas adicionales para redactar automáticamente información confidencial del usuario. También implementará alertas nuevas y ampliadas para notificar a sus equipos de servicio cuando detecte una configuración de seguridad incorrecta.

VÍA: CÓDIGO ESPAGUETI

DEJA UNA RESPUESTA

Please enter your comment!
Please enter your name here