Dane 250 mln klientów Microsoftu przez 4 dni były dostępne w sieci – twierdzi Infosecurity Magazine. Podał, że bez zabezpieczenia ujawniono informacje z bazy danych centrum wsparcia Microsoftu (CSS), gromadzone przez 14 lat (2005 – 2019). Były to m.in. adresy e-mail, numery IP klientów, opisy zgłoszonych problemów, a także e-maile pracowników koncernu, zajmujących się pomocą techniczną.

Błąd wykrył pod koniec ub.r. niezależny badacz. Poinformował o zagrożeniu Microsoft, który w jeden dzień załatał lukę. Na razie nie wiadomo, czy ktoś nieuprawniony uzyskał dostęp do rekordów. Jeden z ekspertów cytowanych przez magazyn ostrzega, że widoczne wcześniej informacje mogą wykorzystać cyberprzestępcy, podszywając pod pracowników wsparcia Microsoftu, by uzyskać dostęp do komputera ofiary i zainfekować go.

Microsoft przyznał, że problem dotyczył bazy danych wykorzystywanej na użytek wewnętrzny do analizy przypadków pomocy technicznej. Zapewnił, że nie zostały ujawnione informacje dotyczące komercyjnych usług chmurowych.

Koncern wyjaśnia, że 5 grudnia wprowadzono zmianę w sieciowych konfiguracjach bezpieczeństwa, okazało się, że zawierały błąd, który umożliwił swobodny dostęp do opisanej bazy.

Microsoft podał, że wewnętrzne dochodzenie ustaliło, iż nie doszło do bezprawnego wykorzystania informacji. Według niego zdecydowana większość wystawionych bez zabezpieczeń rekordów nie zawierała danych osobowych.