Microsoft ha rivelato nelle scorse ore un errore del database che ha esposto sul web i dati di 250 milioni di utenti. Per essere più precisi, il leak sarebbe relativo ai registri delle conversazioni tra gli agenti di supporto Microsoft e i clienti di tutto il mondo. La vulnerabilità è stata scoperta dal ricercatore di sicurezza Bob Diachenko e Comparitech, lo scorso 29 dicembre; il problema pare sia stato risolto dall’azienda americana due giorni più tardi.
Stando alla società, l’esposizione dei dati sarebbe stata causata da una “configurazione errata” di uno dei suoi database interni di assistenza clienti, ma la società afferma di non aver trovato fortunatamente prove di “uso illecito”. Il server includeva registri di chiamate all’assistenza clienti risalenti al 2005 e, secondo Comparitech, il database non era protetto da password.
Comparitech ha affermato inoltre che alcune informazioni, come indirizzi e-mail e IP, sono state memorizzate in testo non formattato. Se qualcuno fosse stato in grado di accedere ai registri, avrebbe potuto usarli per impersonare più facilmente il personale di supporto dell’azienda a scopo di phishing. Microsoft ha dunque chiesto scusa ai clienti:
Vogliamo scusarci e rassicurare i nostri clienti. Abbiamo preso sul serio il problema e stiamo lavorando diligentemente per prevenire qualsiasi intoppo futuro.
L’azienda afferma di voler controllare le proprie regole di sicurezza interne e implementare strumenti aggiuntivi per proteggere maggiormente i dati sensibili degli utenti. Inoltre, imposterà nuovi allarmi per acquistare il team di servizio, per avvertirlo qualora venisse rilevata una falla nella sicurezza. Nell’ultimo anno, è la seconda volta che Microsoft si trova ad affrontare problemi del genere: nell’aprile 2019, la società ha rivelato che alcuni hacker avevano utilizzato le credenziali di un addetto all’assistenza clienti per trafugare gli account di posta elettronica di alcuni dei suoi utenti.