Microsoft a révélé qu’une base de données interne d’assistance à la clientèle a été exposée en ligne le mois dernier en raison d’une erreur de configuration. Le géant du logiciel a fourni des détails supplémentaires sur la faille de sécurité dans un article de blog dans lequel il a déclaré que la base de données stockait des analyses d’utilisateurs anonymes et a été accidentellement exposée en ligne entre le 5 et le 31 décembre.

Comme le souligne ZDNet, le chercheur en sécurité de Security Discovery, Bob Diachenko, a d’abord découvert la base de données et l’a signalée à Microsoft. La société a rapidement sécurisé la base de données exposée le jour même où il a signalé le problème, bien qu’il l’ait fait la veille du Nouvel An.

« J’ai immédiatement signalé cela à Microsoft et dans les 24 heures, tous les serveurs ont été sécurisés. J’applaudis l’équipe de support de MS pour sa réactivité et son délai d’exécution rapide malgré le réveillon du Nouvel An », indique Diachenko.

Selon Diachenko, la base de données du support client contient un ensemble de cinq serveurs Elasticsearch qui sont utilisés pour aider à simplifier les opérations de recherche. Les cinq serveurs stockent les mêmes données, car ils semblent être des miroirs les uns des autres.

Les serveurs stockant la base de données du service clientèle de Microsoft contenaient près de 250 millions d’enregistrements, dont des informations telles que les adresses électroniques, les adresses IP et les détails des dossiers d’assistance.

250 millions d’enregistrements exposés

Heureusement, la plupart des enregistrements ne contenaient pas d’informations personnelles sur les utilisateurs, comme le montre l’article de blog de la société : « Dans le cadre des procédures opérationnelles standard de Microsoft, les données stockées dans la base de données analytique des dossiers d’assistance sont expurgées à l’aide d’outils automatisés pour supprimer les informations personnelles. Notre enquête a confirmé que la grande majorité des dossiers ont été effacés des renseignements personnels conformément à nos pratiques standard. Dans certains cas, les données peuvent ne pas avoir été expurgées si elles remplissent des conditions spécifiques ».

Si les utilisateurs ont déposé des demandes d’assistance support en utilisant des données non standardisées, ces données n’ont pas été détectées et expurgées, mais sont restées dans la base de données exposée. Microsoft a déjà commencé à informer les clients concernés, bien que la société n’ait « trouvé aucune utilisation malveillante » des données.

Selon l’entreprise, l’exposition accidentelle du serveur était le résultat de règles de sécurité Azure mal configurées qu’elle a déployées le 5 décembre et qui ont maintenant été corrigées.