El soporte al cliente de Microsoft cuenta con una base de datos de uso interno en la que almacena analíticas anonimizadas de sus usuarios. Ayer, la compañía desveló que los datos de la misma estuvieron expuestos durante casi todo el pasado mes de diciembre.
La brecha fue notificada por Bob Diachenko, investigador de ciberseguridad en Security Discovery, la pasada Nochevieja, tras descubrir que la información, alojada en cinco servidores Elasticsearch (una tecnología que simplifica las operaciones de búsqueda) llevaba expuesta accidentalmente online desde el día 5 de diciembre.
Información anonimizada... pero no del todo
Dichos servidores contenían aproximadamente 250 millones de entradas que almacenaban información sobre las incidencias de soporte. Según Microsoft, la mayoría de dichos registros no contenían información personal alguna. Un momento, ¿como que "la mayoría"? Sí, el problema de esta brecha de seguridad es que los datos de la misma no estaban 100% anonimizados.
Resulta que el procedimiento estándar de Microsoft establece el uso de herramientas automatizadas para eliminar dicha información personal... pero dichas herramientas sólo identifican datos en formato estándar.
Esto significa que, cuando los usuarios presentan solicitudes de atención al cliente con otro formato ("nombre apellido @ correo.algo", en lugar del habitual "nombreapellido@correo.algo"), dichos datos no son detectados como confidenciales, y permanecen en la base de datos.
Por otro lado, Microsoft ha reconocido que un subconjunto de esos datos incluía, además, datos como direcciones IP y anotaciones confidenciales de las incidencias, datos que en muchos casos pueden facilitar la identificación de los clientes. Por eso, la compañía, ha querido dejar claro que los clientes afectados ya han sido notificados, así como que no se ha detectado "ningún uso malicioso" de los datos expuestos.
En cualquier caso, el motivo de que todos esos datos quedaran expuestos el día 5 de diciembre fue, según Microsoft, una mala configuración de las reglas de seguridad de Azure que implementó ese mismo día, y que ya ha corregido.
No es la primera vez, sin embargo, que el servicio de soporte de Microsoft se ve expuesto a una brecha de seguridad: hace ahora un año, un grupo de ciberdelincuentes consiguió acceso a las credenciales de un agente de soporte de la compañía, lo que posibilitó que tuvieran acceso total durante cuatro meses a todas la cuentas de e-mail de Outlook, Hotmail y MSN.
Vía | ZDNet & The Register
Ver 2 comentarios