Nel corso del nuovo anno, Microsoft ha esposto sul web i dati di quasi 250 milioni di clienti. I record contenevano i registri delle conversazioni tra gli agenti di supporto Microsoft e i clienti di tutto il mondo, per un periodo di 14 anni, dal 2005 al dicembre 2019. Tutti i dati sono stati lasciati accessibili a chiunque abbia un browser web, senza password o altra autenticazione necessaria.
Il team di ricerca sulla sicurezza di Comparitech guidato da Bob Diachenko ha scoperto cinque server Elasticsearch, ognuno dei quali conteneva un insieme apparentemente identico dei 250 milioni di record. Diachenko ha immediatamente notificato a Microsoft la scoperta dei dati esposti e Microsoft ha agito rapidamente per metterli in sicurezza.
“Siamo grati a Bob Diachenko per aver lavorato a stretto contatto con noi in modo da poter risolvere rapidamente questo errore di configurazione, analizzare i dati e notificare i clienti come appropriato” ha detto Eric Doerr, General Manager, Microsoft.
Cronologia dell’esposizione
In totale, i dati sono stati esposti per circa due giorni prima che avvertissimo Microsoft e le registrazioni fossero messe in sicurezza.
- 28 dicembre 2019 – I database sono stati indicizzati dal motore di ricerca BinaryEdge
- 29 dicembre 2019 – Diachenko ha scoperto i database e ha immediatamente avvisato Microsoft
- 30-31 dicembre 2019 – Microsoft ha messo al sicuro i server e i dati. Diachenko e Microsoft hanno continuato il processo di indagine e di risanamento.
- 21 gennaio 2020 – Microsoft ha rivelato ulteriori dettagli sull’esposizione a seguito dell’indagine.
“Ho immediatamente riferito questo a Microsoft e nel giro di 24 ore tutti i server sono stati messi in sicurezza, ha detto Diachenko. Mi congratulo con il team di supporto della MS per la reattività e la rapidità di risposta, nonostante il Capodanno.”
Non sappiamo se altri soggetti non autorizzati abbiano avuto accesso al database in quel periodo.
Quali dati sono stati esposti?
Diachenko spiega che la maggior parte delle informazioni di identificazione personale (alias e-mail, numeri di contratto e informazioni di pagamento) sono state cancellate. Tuttavia, molti record contenevano dati in chiaro, tra cui, a titolo esemplificativo ma non esaustivo:
- Indirizzi e-mail dei clienti
- Indirizzi IP
- Sedi
- Descrizione dei sinistri e delle cause della CSS
- E-mail dell’agente di supporto Microsoft
- Numeri dei casi, risoluzioni e osservazioni
- Note interne contrassegnate come “riservate”.
Pericoli per i clienti Microsoft
Anche se la maggior parte delle informazioni di identificazione personale sono state cancellate dai registri, i pericoli di questa esposizione non devono essere sottovalutati. I dati potrebbero essere preziosi per i truffatori dell’assistenza tecnica.
Le truffe del supporto tecnico comportano che un truffatore contatti gli utenti e finga di essere un rappresentante del supporto Microsoft. Questi tipi di truffe sono piuttosto diffusi e anche quando i truffatori non dispongono di informazioni personali sui loro obiettivi, spesso si spacciano per personale Microsoft. Microsoft Windows è, dopo tutto, il sistema operativo più diffuso al mondo.
Con i registri dettagliati e le informazioni sui casi in mano, i truffatori hanno maggiori possibilità di successo contro i loro obiettivi. Se i truffatori hanno ottenuto i dati prima che fossero messi al sicuro, possono sfruttarli impersonando un vero collaboratore Microsoft e facendo riferimento a un numero di caso reale. Da lì potrebbero cercare informazioni sensibili o dirottare i dispositivi degli utenti.
I clienti Microsoft e gli utenti Windows dovrebbero aspettarsi tali truffe per telefono e per e-mail. Ricordate che Microsoft non si rivolge mai in modo proattivo agli utenti per risolvere i loro problemi tecnici: gli utenti devono prima rivolgersi a Microsoft per ottenere aiuto. I dipendenti Microsoft non chiederanno la vostra password né vi chiederanno di installare applicazioni desktop remote come TeamViewer. Queste sono tattiche comuni tra i truffatori tecnici.
Violazioni ed esposizioni passate
Questo non è il primo incidente di sicurezza dei dati di Microsoft.
Nel 2013, gli hacker hanno fatto irruzione nel database segreto dell’azienda per rintracciare i bug del suo software. Tale violazione non includeva alcuna informazione sugli utenti e non è mai stata ufficialmente divulgata al pubblico, ma la Reuters ha confermato l’incidente con cinque ex dipendenti.
Tra gennaio e marzo 2019, gli hacker hanno compromesso l’account di un agente di supporto Microsoft. La società ha dichiarato che c’era la possibilità che l’hacker avesse avuto accesso al contenuto di alcuni account di Outlook.
Come e perché abbiamo scoperto questa esposizione
Comparitech collabora con il ricercatore sulla sicurezza Bob Diachenko per trovare i database esposti sul web. La vasta esperienza di Diachenko nel campo della sicurezza informatica ci permette di divulgare in modo rapido e responsabile le violazioni dei dati e le esposizioni alle parti responsabili.
Una volta che Diachenko scopre dati impropriamente protetti, prende immediatamente provvedimenti per identificare e notificare il proprietario. Una volta che i dati sono stati protetti, Comparitech pubblica un rapporto come questo.
Indaghiamo sul contenuto del database per determinare quali informazioni sono state esposte e a chi appartengono. Il nostro obiettivo è quello di mitigare i danni agli utenti finali limitando l’accesso ai dati e sensibilizzando le persone che potrebbero essere coinvolte.
A cura di Paul Bischoff, scrittore tecnico, sostenitore della privacy ed esperto di VPN
