Bij softwaregigant Microsoft zijn de afgelopen jaren 250 miljoen gebruikersaccounts online toegankelijk geweest zonder enige vorm van beveiliging. Dat heeft Comparitech bekend gemaakt.

Onderzoekers van het Comparitech security research team ontdekten via een automatische indexering door zoekmachine BinaryEdge eind december 2019 een grote hoeveelheid klantgegevens op vijf verschillende servers, met elk dezelfde set van 250 miljoen klantrecords. Daarbij ging het om customer service- en support-logs, met inbegrip van conversaties tussen agents van Microsoft support en klanten uit alle delen van de wereld. De oudste gegevens dateerden van 2005, de jongste van 2019. De gegevens waren toegankelijk voor iedereen met een webbrowser; volgens het Comparitech team was voor toegang geen enkele authenticatie geregeld.

Comparitech stelt ook dat veel informatie uit de gegevensset was aangepast, maar dat de records nog steeds e-mailadressen, IP-adressen, locaties, beschrijvingen van cases en klachten, e-mailgegevens van Microsoft-medewerkers, case-nummers en oplossingen en interne vertrouwelijke memo’s bevatten. Het team heeft een dag na de ontdekking Microsoft geïnformeerd, waarna Microsoft op 30 december de servers heeft beveiligd.

UPDATE Microsoft heeft bevestigd dat de database door een configuratiefout toegankelijk was via internet. De interne supportdatabase is bedoeld voor analytics over support cases die Microsoft afhandelt. De database lijkt hierdoor grotendeels geanonimiseerde data te bevatten.

Technologie