Microsoft a révélé mercredi que le 29 décembre, un chercheur en sécurité avait informé l'entreprise d'une erreur de base de données massive qui laissait 250 millions d'enregistrements clients vulnérables aux attaques. Microsoft a publié un article de blog qui indique que la vulnérabilité est le résultat d'une 'mauvaise configuration d'une base de données de support client interne utilisée pour l'analyse des cas de support Microsoft', bien qu'elle affirme n'avoir trouvé aucune preuve que les informations ont été compromises.
La société a mis en œuvre un correctif pour l'erreur de base de données dans les deux jours suivant sa notification et affirme qu'elle pense qu'aucune information client n'a été affectée. Pourtant, Microsoft a commencé à informer les clients dont les informations sont incluses dans la base de données afin qu'ils sachent que leurs données pourraient avoir été compromises.
femme scorpion et homme gémeaux
Dans la plupart des cas, Microsoft affirme que les informations personnellement identifiables ont été supprimées de la base de données, qui a été utilisée pour analyser les cas de support. Dans certains cas, cependant, des adresses e-mail ou d'autres informations personnelles peuvent avoir été incluses.
Étant donné que la base de données incluait des informations sur les cas de support, une violation pourrait potentiellement permettre à un escroc de se faire passer pour le personnel du support client de Microsoft et de tenter d'accéder au compte, à l'ordinateur ou aux données d'un client. Ces types d'escroqueries ne sont pas rares, mais un attaquant dispose rarement d'informations client réelles à utiliser comme point de départ.
Microsoft indique que la mauvaise configuration s'est produite lorsque les règles de sécurité de la base de données ont été mises à jour le 5 décembre, provoquant l'exposition des enregistrements. Bien que l'entreprise ne pense pas qu'aucune information client ait été piratée, les données ont été exposées pendant 24 jours, ce qui a donné lieu à la possibilité d'y avoir accès. La société a souligné que ce type d'erreur est beaucoup trop courant et encourage les clients à évaluer la configuration de leur propre système.
Les erreurs de configuration sont malheureusement une erreur courante dans l'industrie. Nous avons des solutions pour aider à éviter ce genre d'erreur, mais malheureusement, elles n'étaient pas activées pour cette base de données. Comme nous l'avons appris, il est bon de revoir périodiquement vos propres configurations et de vous assurer que vous profitez de toutes les protections disponibles.
quel signe est le 30 juillet
Du côté de Microsoft, la société a déclaré qu'elle mettait en œuvre des changements pour empêcher ce type de vulnérabilité à l'avenir. Ces changements incluent l'évaluation et l'audit des « règles de sécurité réseau établies pour les ressources internes » de l'entreprise, ainsi que la mise en œuvre de mécanismes conçus pour détecter les erreurs de configuration des règles de sécurité et informer les équipes de sécurité lorsqu'elles sont découvertes. De plus, la société apporte des modifications à la façon dont elle rédige les informations personnelles pour ce type de base de données afin d'éviter toute exposition involontaire.
Si vous êtes un client du support Microsoft, vous vous demandez probablement si vous devez faire quelque chose. Microsoft dit qu'il avertit les clients qui pourraient avoir leurs informations incluses dans la base de données.
Malheureusement, Microsoft a raison : il y a beaucoup trop d'exemples d'informations sur les clients exposées par des entreprises qui n'ont pas mis en place une protection adéquate. En fait, cet incident est le deuxième fois que Microsoft a signalé que les informations des clients ont pu être compromises l'année dernière.
Et Microsoft n'est certainement pas la seule entreprise à avoir eu un problème avec la sécurité des données des clients. Facebook , Equifax et d'autres ont été la cible d'attaques ou d'expositions très médiatisées. Cela signifie qu'il vous appartient d'être vigilant et d'assumer la responsabilité de vos propres informations et de la protection de votre vie privée.
Cela signifie qu'il vaut également la peine de nous rappeler que si vous recevez un e-mail ou un appel téléphonique qui ne semble pas correct, ne donnez aucune information personnelle ou d'entreprise. Utilisez toujours les canaux officiels pour obtenir de l'aide, et si vous n'avez pas demandé de réponse par e-mail ou par appel téléphonique, supposez que toute communication doit être traitée avec méfiance.
