250 millones de registros de soporte al cliente de Microsoft fueron filtrados online
Microsoft confirmó que una base de datos con 250 millones de registros de clientes fue filtrada en Internet
Microsoft confirmó que una base de datos con 250 millones de registros de clientes fue filtrada en Internet
Microsoft podría haber contactado a usuarios que buscaron asistencia técnica en los últimos 14 años, estas consultas y otra información de identificación personal, se vieron comprometidas en un incidente de seguridad.
La compañía admitió hoy una filtración de datos de casi 250 millones de registros de «Servicio y soporte al cliente» (CSS) en Internet, debido a un servidor mal configurado que contiene registros de conversaciones entre su equipo de soporte y los clientes.
Bob Diachenko, investigador de seguridad cibernética, detectó que la base de datos de Microosft estaba desprotegida, por lo que informó inmediatamente a la compañía. Los registros contenían información que abarca desde 2005 hasta diciembre de 2019.
Microsoft publicó en un blog que debido a las reglas de seguridad mal configuradas agregadas al servidor en cuestión el 5 de diciembre de 2019, permitió la exposición de los datos, que se mantuvo igual hasta que los ingenieros remediaron la configuración el 31 de diciembre de 2019.
La compañía también informó que la base de datos fue redactada utilizando herramientas automatizadas para eliminar la información de identificación personal de la mayoría de los clientes, excepto en algunos escenarios donde la información no estaba con el formato estándar.
«Nuestra investigación confirmó que la gran mayoría de los registros con información personal se borraron de acuerdo con nuestras prácticas estándar», dijo Microsoft.
Sin embargo, Diachenko asegura que muchos registros en la base de datos filtrada contenían datos legibles sobre los clientes, incluyendo:
- Correos electrónicos
- Direcciones IP
- Ubicaciones
- Descripciones de reclamos y casos de CSS
- Números de casos, resoluciones y comentarios
- Notas internas marcadas como «confidenciales»
«Este problema era específico de una base de datos interna utilizada para el análisis de casos de soporte y no representa una exposición de nuestros servicios comerciales en la nube», dijo la compañía.
Los piratas informáticos podrían, con esa información, abusar de los datos para engañar a los usuarios por estafa telefónica, para que paguen por problemas informáticos inexistentes haciéndose pasar por representantes de Microsoft.
Microsoft aseguró que ya comenzó a notificar a los clientes afectados.
