Um recente relatório divulgou que a Microsoft expôs perto de 250 milhões de registos e conversas, realizadas no Serviço de Apoio ao Cliente da empresa.
Numa altura em que se fala tanto de segurança e privacidade, esta não é uma notícia favorável para a Microsoft.
Sendo a Microsoft uma gigante da tecnologia, os seus clientes tendem a ter uma confiança sólida. No entanto, há agora informação de que a empresa de Redmond expôs online cerca de 250 milhões de conversas de Apoio ao Cliente (Costumer Service and Suporte – CSS).
Os dados expostos são registos e logs de conversas entre agentes de suporte da Microsoft e clientes de todo o Mundo. Estas conversas abrangem um período de 14 anos, isto é foram realizadas entre 2005 e dezembro de 2019.
As informações estavam acessíveis a qualquer pessoa
Os conteúdos expostos estavam ‘à mão de semear’, o que, por outras palavras, significa que qualquer pessoa com acesso à Internet, sem password nem qualquer género de autenticação, podia aceder-lhes.
Foi a equipa de pesquisa de segurança da Comparitech, liderada por Bob Diachenko, que descobriu 5 servidores Elasticsearch, os quais continham os 250 milhões de registos de Apoio ao Cliente.
Prontamente a equipa notificou a Microsoft que, no imediato, tomou medidas para proteger os dados e agradecer a Diachenko o alerta:
Agradecemos a Bob Diachenko por trabalhar em estreita colaboração connosco, para que possamos corrigir rapidamente essa configuração incorreta, analisar os dados e notificar os clientes conforme apropriado.
Eric Doerr, Diretor Geral na Microsoft Security Response Center
Dados ficaram expostos desde 28 de dezembro de 2019
Numa linha do tempo, verifica-se que foi a partir do dia 28 de dezembro de 2019 que os dados ficaram expostos, ou seja, dias antes de a Microsoft ser alertada pela equipa de Diachenko.
- 28 de dezembro: As bases de dados foram indexadas pelo motor de busca BinaryEdge
- 29 de dezembro: Diachenko descobriu as bases de dados e notificou a Microsoft
- 30 e 31 de dezembro: A Microsoft protegeu os dados e os servidores e prosseguiu, juntamente com Diachenko, o processo de investigação e correção.
- 21 de janeiro de 2020: A Microsoft divulga detalhes adicionais acerca da exposição e o resultado da investigação
Reportei imediatamente à Microsoft e em 24 horas todos os servidores estavam protegidos. Aplaudo a equipa de suporte da MS pela capacidade de resposta rápida, apesar da véspera de Ano Novo.
Bob Diachenko
Bob Diachenko
Diachenko explica que a maioria das informações que continuam dados de identificação pessoal como, por exemplo, email, números de contrato e dados de pagamento, foram editadas. Contudo, havia vários registos com texto simples que incluíam:
- Endereços de email de clintes
- Endereços IP
- Localização
- Descrição da queixa apresentada ao Apoio ao Cliente
- Emails dos agentes de suporte da Microsoft
- Identificação dos casos, soluções e comentários aos mesmos
- Notas internas marcadas como “confidencial”
Em suma, este é mais um exemplo de que até as grandes empresas, das quais se espera a maior segurança possível, também podem ter falhas. E estas, por conseguinte, podem levar a consequências delicadas.