Bancos de dados da Microsoft configurados incorretamente expuseram 250 milhões de dados de atendimento do suporte por 16 dias. As informações foram geradas entre 2005 e 2019 e podem aumentar riscos de phishing à clientes da empresa.
Entre as informações, era possível identificar:
- Endereços de e-mail
- Endereços de IP
- Dados de localização
- E-mails dos agentes de suporte da Microsoft
- Números de protocolo, medidas e comentários
- Notas internas “confidenciais”
As falhas foram detectadas pela equipe de segurança da Comparitech. Segundo a pesquisa, cinco servidores Elasticsearch foram encontrados com uma cópia do banco de dados.
Algumas informações de caráter pessoal, como logins, números de contratos e informações de pagamento foram editadas. Porém, a Microsoft explica que a medida é tomada de forma automatizada em processos de verificação de identidade.
A Microsoft está notificando usuários afetados pelo problema. A equipe da Comparitech informou que os dados foram encontrados em 29 de dezembro, e a empresa tomou medidas no dia seguinte, 30 de dezembro.
Os dados são um prato cheio para cibercriminosos. Em ataques de phishing, informações do tipo são cruciais para ludibriar as vítimas. Paul Bischoff, pesquisador da Comparitech, alerta que os hackers podem se passar por alguém do suporte técnico para aplicar golpes. “Os clientes da Microsoft e os usuários do Windows devem estar atentos a golpes por telefone e e-mail”, afirmou Bischoff.
Via: ITForum 365