Miljoenen gegevens van Microsoft-klanten hebben minstens enkele dagen onafgeschermd online gestaan.
Het incident dateert van eind december. BinaryEdge, dat op zoek gaat naar data die online lekt, kon de openstaande databases vinden. Securityonderzoeker Bob Diachenko meldde het probleem aan Microsoft.
In totaal gaat het om vijf Elasticsearch-databases die ontdekt werden op 28 december. Hoe lang ze op dat moment al publiek stonden is niet bekend. Microsoft schermde ze rond 30-31 december weer af. Het gaat om data rond de contacten van klanten met de helpdesk van Microsoft met gegevens die teruggaan tot 2005.
Het goede nieuws is dat de meest gevoelige informatie, zoals contactgegevens en betaalinformatie niet leesbaar is. Maar een deel van de gegevens staat wel in zogeheten platte tekst en bevat ook e-mailadressen, IP-adressen en een omschrijving van de besproken problemen. Ook mails van Microsofts helpdesk en interne vertrouwelijke nota’s staan in de database.
De hamvraag is hoe lang de gegevens effectief online stonden en of ze in die tijd door malafide personen zijn gevonden en bekeken. Criminelen proberen al jaren mensen op te lichten met telefoonjes waarbij ze zich voordoen als medewerkers van Microsoft. Met gegevens over echte contacten met het bedrijf kan zo’n oplichtingspoging een stuk succesvoller worden.
Fout opgemerkt of meer nieuws? Meld het hier