L’article de blog, intitulé Access Misconfiguration for Customer Support Databases, reconnait qu’entre le 5 décembre 2019 et le 31 décembre 2019, une base de données utilisée pour “l’analyse des cas de support” a été effectivement visible depuis le Cloud par le monde entier.
Microsoft n’a pas donné de détails sur la taille de la base de données. Néanmoins, le site web Comparitech dédié aux consommateurs, qui prétend avoir découvert les données non sécurisées en ligne, affirme qu’il pourrait s’agir d’environ 250 millions de dossiers contenant :
… des logs de conversations entre les agents support Microsoft et les clients du monde entier, sur une période de 14 ans de 2005 à décembre 2019.
Selon Comparitech, ces mêmes données étaient accessibles au niveau de cinq serveurs Elasticsearch.
L’entreprise a informé Microsoft qui a rapidement sécurisé les données.
La déclaration officielle de Microsoft indique que “la grande majorité des dossiers ont été nettoyés de toutes leurs données personnelles“, signifiant ainsi que l’entreprise a utilisé des outils automatisés pour les rechercher et les supprimer.
Cependant, certaines données personnelles censées être supprimées ont été oubliées et sont restées visibles au niveau des informations exposées.
Microsoft n’a pas précisé quel type de données personnelles était concerné, ni quels champs de la base de données avaient perdu leur anonymat.
Il donne cependant un exemple de données qui auraient été oubliées : des adresses email avec des espaces ajoutés par erreur ne sont pas reconnues comme des données personnelles et échappent donc à l’anonymisation.
Donc, si votre adresse email avait été enregistrée sous le nom “nom@exemple.com“, vos données sont censées avoir été converties sous une forme inoffensive, tandis que “nom[espace]@exemple.com” (une erreur facile à commettre pour un membre du support lors de la saisie des données) a très bien pu passer à côté du processus de nettoyage.
Microsoft a promis de notifier toutes les personnes dont les données ont été exposées par inadvertance de cette manière, mais n’a pas précisé le pourcentage de dossiers concernés.
Quoi faire ?
Nous ne savons pas combien de personnes ont été affectées ni exactement quelles sont les données personnelles des utilisateurs qui ont été consultées.
Nous ne savons pas non plus qui d’autre, à part Comparitech, a pu remarquer une telle faille au cours des trois semaines d’exposition, bien que Microsoft affirme qu’il “n’a détecté aucune utilisation malveillante”.
Nous supposons que si vous n’entendez rien de la part de Microsoft, même si vous avez contacté le support pendant la période allant de 2005 à 2019, alors soit vos données n’étaient pas dans la base exposée, soit la quantité de données était trop faible dans celle-ci pour permettre à quiconque, y compris à Microsoft, de vous identifier.
Il est néanmoins possible que des cybercriminels vous contactent pour vous affirmer que vous “étiez” bien concerné par cette faille de sécurité.
Ils peuvent alors vous inciter à prendre des mesures pour “traiter” le problème, comme par exemple cliquer sur un lien et vous connecter “pour des raisons de sécurité“, ou encore pour “valider votre compte“, entre autres prétextes évoqués.
N’oubliez pas : si jamais vous recevez un email d’alerte de sécurité, que vous le pensiez légitime ou non, évitez de cliquer sur des liens, d’appeler des numéros ou de lancer des actions en ligne qui ont été demandées par email.
Rendez-vous plutôt sur le véritable site où vous vous connectez habituellement et gardez ainsi une longueur d’avance sur les emails de phishing !
Billet inspiré de Big Microsoft data breach – 250 million records exposed, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.