Microsoft a révélé une faille de sécurité dans laquelle une base de données de support client interne a été exposée en ligne le mois dernier.
Le géant du logiciel a fourni plus de détails sur la violation de la sécurité dans un article de blog dans lequel il a déclaré que la base de données stockait des analyses d'utilisateurs anonymes et avait été accidentellement exposée en ligne entre le 5 et le 31 décembre.
Chercheur en sécurité chez Security Discovery, Bob Diachenko a découvert la base de données et l'a signalé à Microsoft. La société a rapidement sécurisé la base de données exposée le même jour qu'il a signalé le problème, bien qu'il l'ait fait le soir du Nouvel An.
Selon Diachenko, la base de données du support client contenait un cluster de cinq serveurs Elasticsearch utilisés pour simplifier les opérations de recherche. Les cinq serveurs ont stocké les mêmes données car ils semblent être des miroirs les uns des autres.
Sommaire
Base de données exposée
Les serveurs stockant la base de données du support client de Microsoft contenaient près de 250 millions d'entrées, y compris des informations telles que les adresses e-mail, les adresses IP et les détails du dossier de support. Heureusement, la plupart des enregistrements ne contiennent aucune information personnelle sur l'utilisateur selon le blog de l'entreprise, qui se lit comme suit:
«Dans le cadre des procédures opérationnelles standard de Microsoft, les données stockées dans la base de données analytique des dossiers d'assistance sont rédigées à l'aide d'outils automatisés pour supprimer les informations personnelles. Notre enquête a confirmé que la grande majorité des dossiers ont été effacés des renseignements personnels conformément à nos pratiques standard. Dans certains scénarios, les données peuvent ne pas avoir été supprimées si elles remplissent des conditions spécifiques. "
Si les utilisateurs ont déposé des demandes d'assistance client à l'aide de données formatées non standard, ces données n'ont pas été détectées et caviardées, mais sont restées dans la base de données exposée. Microsoft a déjà commencé à notifier les clients concernés, bien que la société n'ait «trouvé aucune utilisation malveillante» des données.
Selon la société, l'exposition accidentelle du serveur était le résultat de règles de sécurité Azure mal configurées déployées le 5 décembre, qui ont maintenant été corrigées.
Via ZDNet