Microsoft reveló una brecha de seguridad que ocurrió en diciembre de 2019 y la cual habría
expuesto datos de personas que usaron el servicio de atención al cliente, informó zdenet.
El fabricante del conocido sistema operativo dijo que una base de datos interna de servicio
al cliente que guardaba análisis de usuarios anónimos fue accidentalmente expuesta en línea sin protección apropiada entre el 5 y el 31 de diciembre.
La base de datos fue detectada y reportada a Microsoft por Bob Diachenko, un investigador
de seguridad con Security Discovery.
La base de datos filtrada consistía de cinco servidores Elasticsearch, una tecnología usada
para simplificar operaciones de búsqueda. Los cinco servidores guardaban los mismo datos,
aparentemente siendo espejos unos de otros.
Microsoft aseguró la base de datos expuesta el mismo día que se le reportó la situación, a
pesar de ser Año Nuevo.
Los servidores contenían aproximadamente 250 millones de entradas con información
como direcciones de correo electrónico, direcciones IP, y detalles de casos de apoyo.
Microsoft dijo que muchos de los registros no contenían ninguna información personal de
los usuarios.
«Como parte de los procedimientos estándar de Microsoft, los datos guardados en este caso están redactados usando herramientas automatizadas para remover información personal», dijo la compañía.
De cualquier forma, en casos donde los usuarios llenaron solicitudes de atención al cliente
usando formatos de datos no estándar (como name sername @ emaildomain com en lugar
de name.surname@email.com) como los datos no fueron detectados y redactados,
permanecieron en la base de datos expuesta.
Para estos casos, la empresa dijo que comenzará a notificar a los clientes impactados, a
pesar de que añadió que «no encontró uso malicioso» de los datos.
Microsoft culpó la exposición accidental del servidor en una falla de configuración de las
reglas de seguridad Azure que lanzó el 5 de diciembre, lo cual ya está reparado.
Luego de la filtración la compañía mencionó que ahora está auditando las reglas de
seguridad de red establecida para recursos internos, está expandiendo el alcance de los
mecanismos que detectan configuraciones erróneas de las reglas de seguridad, además
añadirá alertas adicionales a los equipos de servicio cuando estos errores sean detectados e
implementará redacción automatizada adicional.
Fuente:
Comments