Microsoft expone por error los datos de 250 millones de usuarios
La compañía ha tenido un fallo de seguridad en una base de datos interna sobre su servicio de atención al cliente.
“Hoy concluimos una investigación sobre una configuración incorrecta de una base de datos interna de soporte al cliente utilizada para el análisis de casos de soporte de Microsoft. Si bien la investigación no encontró uso malicioso, y aunque la mayoría de los clientes no tenían información de identificación personal expuesta, queremos ser transparentes sobre este incidente con todos los clientes y asegurarles que nos lo tomamos muy en serio y nos hacemos responsables”.
Así empieza el último comunicado que esta semana ha emitido Microsoft en su blog oficial, un comunicado en el que el gigante tecnológico reconoce el fallo de seguridad que ha sufrido en una de sus bases de datos internas, y que ha expuesto los datos de 250 millones de usuarios del servicio de ayuda y atención al cliente de la compañía.
Una vulnerabilidad filtra datos de 250 millones de usuarios
Según Microsoft, el fallo de seguridad ocurrió el 5 de diciembre pasado, y dejó expuesta la información hasta el 31 del mismo mes. ¿Las causas? El problema se debió a una mala configuración de la normas de seguridad a raíz de un cambio en la red del grupo de seguridad de la base de datos afectada:
“Nuestra investigación ha determinado que un cambio realizado en el grupo de seguridad de red de la base de datos el 5 de diciembre de 2019 contenía reglas de seguridad mal configuradas que permitieron la exposición de los datos. Tras la notificación del problema, los ingenieros remediaron la configuración el 31 de diciembre de 2019 para restringir la base de datos y evitar el acceso no autorizado”.
Como parte de los procedimientos operativos estándar de Microsoft, los datos almacenados en la base de datos de análisis de casos de soporte se redactan utilizando herramientas automatizadas para eliminar información personal. La investigación de la compañía confirmó que la gran mayoría de los registros se borraron de información personal “de acuerdo con nuestras prácticas estándar. Hemos comenzado las notificaciones a los clientes cuyos datos estaban presentes en esta base de datos redactada”.
Aprender de sus errores
La filtración fue identificada por el investigador de Comparitech Bob Diachenko, quien denunció en su blog la exposición en la web sin tener que usar "contraseña u otra autenticación", de los datos de cerca de 250 millones de grabaciones del servicio de ayuda y atención al cliente.
Microsoft reseña que “desafortunadamente, las configuraciones incorrectas son un error común en toda la industria. Tenemos soluciones para ayudar a prevenir este tipo de error, pero por desgracia no fueron habilitadas para esta base de datos. Como hemos aprendido, es bueno revisar periódicamente sus propias configuraciones y asegurarse de aprovechar todas las protecciones disponibles”.