Microsoft

Microsoft, a rischio la privacy di 250 milioni di utenti

Le registrazioni delle richieste al supporto clienti, con tanto di email e localizzazioni, sono state a disposizione dei malintenzionati per diversi giorni
Microsoft, a rischio la privacy di 250 milioni di utenti FASTWEB S.p.A.

Microsoft ha esposto quasi 250 milioni di record relativi al servizio clienti e all'assistenza clienti sul web. Gli esperti di sicurezza che collaborano con Comparitech hanno scoperto alcuni dati non protetti, che consistevano in cinque database identici contenenti i registri delle conversazioni tra customer care Microsoft e clienti.

Nell'arco di 14 anni (dal 2005 a dicembre 2019), le conversazioni esposte includevano alcuni indirizzi e-mail, indirizzi IP, posizioni, descrizioni di reclami, numeri di casi ed e-mail dei clienti dell'assistenza clienti.  Microsoft ha dichiarato di aver concluso un'indagine su una "configurazione errata di un database interno dell'assistenza clienti" in un avviso pubblicato sul proprio sito web. Non è stato scoperto alcun uso dannoso, ma i clienti rischiavano di veder "esposte informazioni identificative personali".

"Vogliamo essere trasparenti su questo incidente con tutti i clienti e rassicurarli sul fatto che lo stiamo prendendo molto sul serio e ci riteniamo responsabili", ha scritto Microsoft.

Come sono state esposte le informazioni?

Microsoft ha affermato che il problema deriva da una modifica apportata al database il 5 dicembre che conteneva regole di sicurezza non configurate che lasciavano i dati non protetti. Il ricercatore di sicurezza Bob Diachenko, che lavora con Comparitech, ha notificato a Microsoft il problema il 29 dicembre e Microsoft ha bloccato il database entro il 31 dicembre.

Microsoft afferma che il problema era limitato a un database interno utilizzato per l'analisi dei casi di supporto e non per i servizi cloud commerciali. Questo è fondamentale, perché Microsoft richiede che i dati archiviati nei database di analisi dei casi di supporto vengano redatti in modo da rimuovere le informazioni personali. Di conseguenza, la "stragrande maggioranza dei record" non conteneva informazioni personali, compresi gli indirizzi e-mail, molti dei quali sono stati oscurati.

Quali informazioni sono rimaste esposte?

Sfortunatamente, i dati venivano lasciati senza modifiche se soddisfacevano determinate condizioni. Microsoft ha citato l'esempio di informazioni in un formato non standard, come un indirizzo di posta elettronica in cui c'era uno spazio anziché un punto prima di "com".

Ma i tipi di dati esposti vanno ben oltre gli indirizzi e-mail, secondo Comparitech. Diachenko ha affermato che gli indirizzi IP, le posizioni, le descrizioni dei reclami, le e-mail degli agenti di supporto, i numeri dei casi e le note interne contrassegnate come "riservate" non sono stati protetti in diversi casi. Sebbene i dati veramente sensibili - date di nascita, informazioni sulla carta di credito o alias email - siano stati oscurati o non siano mai stati inseriti, i dati lasciati esposti potrebbero essere ancora utilizzati dai truffatori.

Con queste informazioni, alcuni hacker potrebbero risultare più convincenti, quando ad esempio chiamano persone a caso e affermando di essere agenti legittimi del supporto tecnico Microsoft. Ad esempio, potrebbero citare i numeri dei casi effettivi raccolti dal database esposto.

Cosa è possibile fare per proteggersi?

Microsoft non ha trovato prove di alcun uso dannoso dei dati esposti e le informazioni contenute nei database sono solo moderatamente sensibili. Diachenko ha notato il database solo dopo che è stato indicizzato da un motore di ricerca il 28 dicembre, e non è chiaro se lo abbia visto qualcun altro.

Tuttavia, i clienti Microsoft dovrebbero stare attenti alle truffe di phishing e-mail e al supporto tecnico. È bene ricordare che gli agenti Microsoft non chiameranno mai in modo proattivo per chiedere informazioni sul vostro dispositivo, quindi siate sospettosi, specie se non avete chiamato voi per primi.

Cosa sta facendo Microsoft per prevenire un'altra esposizione?

Microsoft si è scusata per non aver protetto le informazioni dei clienti e ha promesso di intraprendere ulteriori azioni per prevenire una situazione simile.

"Vogliamo scusarci sinceramente e rassicurare i nostri clienti sul fatto che stiamo prendendo sul serio la questione e stiamo lavorando diligentemente per apprendere e agire per prevenire eventuali ripetizioni future", ha scritto la società.

La società controllerà ora le regole di sicurezza della rete per le risorse interne, espanderà il suo ambito a meccanismi che rilevano regole di sicurezza improprie e aggiungerà altri servizi di avviso per quando le regole non vengono seguite correttamente.

Rincuora vedere Microsoft adottare misure per evitare ulteriori problemi, ma le recenti lotte dell'azienda non infondono fiducia. Microsoft ha affrontato dure critiche dall'inizio dell'anno dopo la scoperta di un difetto in Internet Explorer, mentre l'NSA ha riscontrato una vulnerabilità "grave" in Windows 10.

23 gennaio 2020

Fonte: laptopmag.com
Condividi
ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail