Microsoft expone 250 millones de registros de Servicio al Cliente

Investigadores de seguridad han descubierto que, a finales del año pasado, un centro de atención al cliente de Microsoft expuso por un breve periodo de tiempo los registros de sus comunicaciones con casi 250 millones de clientes. El investigador Bob Diachenko descubrió los datos en cinco servidores de Elasticsearch desprotegidos.

La base de datos almacenaba 14 años de registros con conversaciones entre empleados de Microsoft y clientes que habían llamado para recibir asistencia técnica. Los registros no incluían los nombres de los usuarios, pero aun así tenían mucha información personal: además de las grabaciones de las conversaciones telefónicas, las bases de datos tenían las direcciones de correo, ubicación física, direcciones IP, números de caso, apuntes sobre el problema del cliente y la resolución que se le dio, así como notas marcadas como “confidencial”.

Se podía acceder a todos los datos directo desde un navegador, sin necesidad de pasar por ningún proceso de autentificación ni filtro de identidad. Además, en muchos casos, esta información se encontraba expuesta en texto simple, sin ningún tipo de cifrado que frenara o dificultara el acceso a esta información.

Los investigadores de la empresa Comparitech se dieron cuenta del peligro porque la información que contenía la base de datos había aparecido organizada en el motor de búsquedas BinaryEdge. “Informé de inmediato a Microsoft sobre el problema y en 24 horas ya se habían asegurado todos los servidores”, dijo el investigador de seguridad Bob Diachenko, de Comparitech. Sin embargo, cuando Microsoft aseguró los servidores, los datos ya habían estado expuestos en Internet por dos días.

No se sabe si alguien más tuvo acceso a la base de datos en ese intervalo. “La investigación no descubrió ningún uso malicioso”, dijo Microsoft, “y aunque la mayoría de los clientes no tuvo información expuesta que podría identificarlos, queremos ser transparentes con esta situación y asegurarles que estamos tomando la situación muy en serio y nos estamos responsabilizando de ella”.

Se ha alertado que los datos expuestos pueden usarse en ataques de ingeniería social, en los que los cibercriminales pueden hacerse pasar por miembros del equipo de servicio al cliente de Microsoft y utilizar los datos expuestos, como los números de caso y datos personales del cliente, para ganar su confianza y pedirles más datos que les permitan cometer otros crímenes, como irrumpir en sus equipos o robar sus cuentas bancarias.

Microsoft reconoció el aporte del investigador para controlar el problema. “Agradecemos a Bob Diachenko por trabajar de cerca con nosotros para que podamos solucionar este error de configuración, analizar los datos y notificar a los consumidores como es debido”, dijo Eric Doerr, Gerente General del Centro de Respuestas de Seguridad de Microsoft.

Fuentes
Microsoft Exposes 250 Million Call Center Records in Privacy Snafu • InfoSecurity Magazine
Microsoft Exposed 250 Million Customer Support Records • Security Week
Microsoft Security Shocker As 250 Million Customer Records Exposed Online • Forbes