Microsoft exposait près de 250 millions d’enregistrements de service client

Nos confrères de CompariTech viennent de le révéler : près de 250 millions d’enregistrements de service et support client de Microsoft ont été exposés sur Internet par inadvertance. Ce vaste volume de données couvre rien moins que 14 années d’activité. Selon nos confrères, tout était accessible en clair, via navigateur Web, sans authentification.

C’est le chercheur Volodymyr Diachenko qui a levé le lièvre le 29 décembre dernier, le lendemain de l’indexation des cinq grappes Elasticsearch concernées – hébergées sur des adresses IP attribuées à Microsoft – par le moteur de recherche spécialisé BinaryEdge.

Contacté par la rédaction, Volodymyr Diachenko explique s’être fait une spécialité de la recherche de bases de données exposées directement sur Internet et ouvertes à tous les vents, avec la volonté « d’avoir un coup d’avance sur les acteurs malicieux qui compromettent les systèmes NoSQL ». Il s’appuie pour cela sur les moteurs de recherche spécialisés Shodan et BinaryEdge ainsi que sur des outils d’analyse développés par lui-même et utilisant des mots-clés prédéfinis en fonction de ce qu’il cherche.

Lorsque Volodymyr Diachenko tombe sur une base de données ouvertes à tous, il « collecte plusieurs échantillons afin de voir s’ils contiennent des données privées ou sensibles. Et lorsque c’est le cas, je communique en privé les découvertes au propriétaire des données et les aide à mettre en œuvre les protections nécessaires ». Cela fait deux ans qu’il procède ainsi et indique aider ainsi en moyenne deux à trois entreprises par semaine.

Dans les archives analytiques du support client de Microsoft se trouvaient des adresses e-mail et IP, des localisations, des descriptions de cas, des notes et remarques de résolution, voire même des notes internes décrites comme confidentielles.

Dans un billet de blog, Ann Johnson, vice-présidente corporate de Microsoft en charge de la division solutions de cybersécurité, et Eric Doerr, directeur général du centre de réponse de sécurité du groupe, adressent leurs remerciements à Volodymyr Diachenko. Ils expliquent que « la vaste majorité des enregistrements » ne contenait pas de données personnelles, mais pas dans tous les cas. Des notifications individuelles ont commencé à être envoyées.

En fait, tout est parti d’un changement de configuration de sécurité réseau effectué le 5 décembre. L’erreur a été réparée le 31 décembre, dans la foulée de la notification. Microsoft souligne que « ce problème était spécifique à une base de données interne utilisée pour l’analyse des cas de support et ne représente pas une exposition de nos services cloud commerciaux ». Le groupe indique enfin que « l’enquête n’a pas trouvé d’utilisation malicieuse ».