Microsoft vient de dévoiler sur son blog qu’une erreur de configuration au sein d’une de ses bases de données, utilisée par son support client, permettait à n’importe qui d’accéder librement aux données de plus de 250 millions de clients depuis un navigateur Web, sans qu’il soit nécessaire d’entrer de mot de passe ou de s’authentifier.
La brèche corrigée en 24 heures
Découverte par une équipe de chercheurs en sécurité de Comparitech, la brèche permettait d’accéder aux conversations établies entre les employés du support client de Microsoft et des clients du monde entier, sur une période de 14 ans, s’étalant de 2005 à 2019.
Bob Diachenko, à la tête de l’équipe ayant découvert cette faille, a immédiatement alerté Microsoft de sa découverte. La firme de Redmond n’a pas traîné et a sécurisé tous les serveurs concernés en moins de 24 heures.
Les données potentiellement compromises comportaient, entre autres, l’adresse email des clients, leur adresse IP, leur localisation, une description du problème les ayant incités à contacter le support client, l’adresse email des employés de Microsoft, des commentaires sur les problèmes des clients ou encore des notes internes marquées comme confidentielles.
Microsoft a confirmé que la majorité des données ayant été exposées ne contenaient pas d’informations personnelles. Mais cette fuite de données ne doit pas pour autant être sous-estimée.
Tombées entre de mauvaises mains, les nombreuses informations contenues dans les conversations compromises auraient pu être exploitées par des escrocs pour arnaquer les clients de Microsoft.
Sur la toile, de nombreux scammers n’hésitent pas à se faire passer pour Microsoft, au téléphone ou par email, prétendant, par exemple, que votre machine est infectée par un quelconque virus afin de vous soutirer de l’argent pour éradiquer le problème.
Sources : Engadget, Comparitech
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.