Mauvais début d’année 2020 pour Microsoft en termes de cybersécurité. A la veille du réveillon, des chercheurs de Comparitech ont mis au jour cinq serveurs Elasticsearch contenant chacun le même jeu de 250 millions d’enregistrements. Ces derniers contenaient des conversations entre des agents de support de Microsoft et des clients sur une période de 2005 à décembre 2019. Ces données étaient accessibles avec un simple navigateur web, sans aucune authentification.
Comparitech a alerté la firme de Redmond directement, les données sont restées exposées deux jours le temps de les sécuriser. Les deux entreprises ne savent pas si d’autres personnes ont eu accès à cette base de données pendant ce laps de temps. Parmi les informations vulnérables, figuraient les adresses électroniques et IP des clients. D’autres contenus concernant les demandes réalisées, et les discussions liées étaient aussi accessibles.
Attention aux arnaques téléphoniques
Mais le lanceur d’alerte prévient, dans un billet de blog, que ces informations peuvent s’avérer sensibles dans le cadre d’arnaques au support technique. Windows étant le système d’exploitation le plus utilisé du monde, il est facile de se faire passer pour un chargé du support de Microsoft. « N'oubliez pas que Microsoft n'intervient jamais de manière proactive auprès des utilisateurs pour résoudre leurs problèmes techniques - les utilisateurs doivent d'abord demander de l'aide à Microsoft », préviennent les chercheurs. « Les employés de Microsoft ne vous demanderont pas votre mot de passe ou ne vous demanderont pas d'installer des applications de bureau à distance comme TeamViewer. Ce sont des tactiques courantes chez les escrocs de la technologie. »
Microsoft a apporté plus de précisions de son côté : « Notre enquête a déterminé qu'une modification apportée au groupe de sécurité du réseau de la base de données le 5 décembre 2019 contenait des règles de sécurité mal configurées qui permettaient l'exposition des données. […] Ce problème était spécifique à une base de données interne utilisée pour l'analyse des cas de support et ne représente pas une exposition de nos services commerciaux en ligne. » Les données des dossiers ont été supprimées, confirme l’éditeur, qui s’engage à prendre plusieurs mesures pour que ce genre de problème ne surviennent plus.
Entre janvier et mars 2019, les pirates ont compromis le compte d'un agent de support de Microsoft. La société a déclaré qu'il était possible que le pirate ait accédé au contenu des comptes de certains utilisateurs d'Outlook.