Microsoft exposa 250 milions de registres CSS en aquest últim incompliment de seguretat | VPNoverview.com

Microsoft va revelar avui un incompliment de seguretat que es va produir el mes passat. Aquest incompliment va exposar els registres de servei i atenció al client (CSS) de gairebé 250 clients mitjançant diversos servidors Elasticsearch interns no garantits.


Què es va exposar

Durant aquest darrer incompliment de seguretat, es van exposar registres de Microsoft CSS de 14 anys. Els registres incloïen converses telefòniques entre agents de serveis i clients de l’any 2005.

La base de dades interna que contenia aquests registres es mantenia en un clúster de cinc servidors Elasticsearch. Un clúster Elasticsearch és un motor de cerca distribuït de text complet que s’utilitza per analitzar grans volums de dades. Els cinc servidors contenien la mateixa informació i semblen ser miralls l’un de l’altre.

Aquesta base de dades interna s’estava utilitzant per a l’anàlisi de casos de suport. La majoria dels registres no contenien informació d’identificació personal (PII), ja que és la pràctica estàndard de Microsoft de redactar PII a les bases de dades d’analítica. Tot i això, algunes dades de PII van romandre als registres on els clients ho havien proporcionat en un format no estàndard. Per exemple, les adreces de correu electrònic se separen amb els espais en lloc de ser escrits en un format estàndard.

Així, tot i que la majoria de PII es va redirigir a partir dels registres, molts encara contenien adreça de correu electrònic i adreces IP del client, que estaven exposades. Els registres també contenien correus electrònics de l’agent d’assistència, notes internes i descripcions de casos CSS.

La investigació de Microsoft de l’incompliment de seguretat

La investigació de Microsoft sobre la violació va revelar que el problema va ser causat per un canvi en el grup de seguretat de xarxa de la base de dades. El canvi realitzat el 5 de desembre contenia regles de seguretat no configurades erròniament que feien que les dades de la base de dades fossin exposades.

Microsoft també va declarar que la seva investigació va indicar que les dades exposades no havien estat utilitzades per a mal ús. Tot i això, Microsoft té la intenció de contactar amb tots els clients que tinguessin dades de PII a la base de dades redaccionada.

A més, la investigació va determinar que el problema era específic de la base de dades interna utilitzada per a l’analítica de casos de suport. No va afectar els serveis de núvol comercial de Microsoft.

Cronologia d’incompliment de seguretat

Els servidors Elasticsearch es van deixar en línia, sense contrasenya i sense protecció, del 5 al 31 de desembre de 2019. L’incompliment va romandre sense detectar fins al 28 de desembre, quan el servidor va ser indexat pel motor de cerca BinaryEdge. Un dia després, les bases de dades no segures van ser descobertes per un consultor independent de seguretat cibernètica, Bob Diachenko, que va informar immediatament a Microsoft.

Microsoft va actuar ràpidament i les bases de dades es van tornar a assegurar el 31 de desembre. Diachenko va elogiar la resposta de Microsoft en un tuit dient: “L’equip de resposta a la seguretat de Kudos a MS: aplaudeixo l’equip de suport de MS per resposta i rapidesa en aquest aspecte, malgrat la nit de Cap d’Any.”

Altres incompliments de seguretat

Després d’aquesta última infracció, Microsoft busca implementar noves estratègies per garantir que no es torni a produir. Aquests inclouen l’auditoria de les regles de seguretat de xarxa interna vigents actualment i la implementació d’automatització addicional de redacció. Microsoft també té intenció de posar alertes addicionals per notificar als equips del servei quan es detectin configuracions errònies de les regles de seguretat.

Tanmateix, l’incompliment de Microsoft és només l’últim d’una sèrie d’aquests incompliments de seguretat per part d’empreses que han exposat dades sensibles del consumidor mitjançant configuracions errònies del servidor Elasticsearch. Altres empreses que han tingut incompliments similars són Wyze i Honda. Una de les infraccions més grans, que va exposar més de mil milions de registres el novembre de l’any passat, també va participar en servidors Elasticsearch.

Avís de les estafes de phishing

Tot i que els registres de Microsoft es van deixar exposats només per un curt període de temps, no se sap si han caigut en mans dels cibercriminals. Per tant, els experts en seguretat adverteixen als clients que es preocupen amb les estafes de phishing de Microsoft o Windows que es realitzen ja sigui per correu electrònic o per telèfon.

Les dades contingudes als registres exposats podrien ser especialment valuoses per a estafadors de suport tècnic. Aquests estafadors substitueixen representants del centre de trucades d’empreses com Microsoft per instal·lar programari maliciós als ordinadors de les víctimes i robar la seva informació financera.

Amb els números reals de casos i la informació a la mà, els estafadors tindrien una millor oportunitat de convèncer que les seves víctimes són empleats de Microsoft. És per això que els experts en seguretat adverteixen als usuaris que estiguin alerta en els propers mesos.

A més, els usuaris de Microsoft han de tenir en compte que Microsoft mai atén els usuaris de manera proactiva per resoldre els seus problemes tècnics. Tampoc Microsoft hauria de sol·licitar contrasenyes ni sol·licitar que els usuaris instal·lin aplicacions d’escriptori remots com TeamViewer. Aquestes són totes les tàctiques que utilitzen habitualment els estafadors de suport tècnic.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me