A fine dicembre 2019, a causa di un errore nei propri database, Microsoft ha "dimenticato" i dati di 250 milioni di utenti che si erano rivolti al supporto tecnico, lasciandoli esposti per due giorni senza alcuna protezione. Il problema fortunatamente è stato risolto e non sembrano esserci tracce di un suo sfruttamento da parte di malintenzionati.
Lo scorso 29 dicembre, a causa di un errore nelle impostazioni di sicurezza dei propri database, i dati riguardanti le conversazioni tra 250 milioni di utenti di tutto il mondo e il supporto tecnico Microsoft, sono stati “dimenticati” online, completamente privi di protezione, per un paio di giorni. A darne notizia è stato lo stesso colosso di Redmond che, dopo aver terminato le proprie verifiche e indagini interne, ha confermato che fortunatamente non sembrano esserci indizi riguardo a un eventuale utilizzo dei dati da parte di malintenzionati.
Il problema è stato scoperto e prontamente segnalato a Microsoft da Bob Diachenko, un ricercatore della società di sicurezza Comparitech e risolto due giorni dopo, il 31 dicembre. Il database, come detto, era assai vasto e comprendeva i log delle conversazioni tenute da utenti di tutto il mondo col servizio clienti Microsoft, su un arco di tempo abbastanza vasto, dal 2005 al 2019.
I dati presenti nel data base esposto comprendevano indirizzi email, indirizzi IP, posizione geografica, dettagli delle richieste di supporto, risposte del personale, numero del caso e note interne del servizio assistenza contrassegnate come riservate. Fortunatamente a quanto pare altre informazioni più personali e quindi sensibili, come numeri di telefono e dati relativi ai pagamenti, erano state oscurate a monte e non accessibili.
A seguito dell’incidente comunque Microsoft ha affermato di voler rivedere completamente le proprie regole di sicurezza interne e di voler implementare strumenti aggiuntivi per redigere automaticamente le informazioni sensibili degli utenti, senza necessità di intervento umano. Infine il colosso ha intenzione di adottare nuovi e più articolati avvisi per avvisare i propri team di servizio quando viene rilevata un’errata configurazione di sicurezza.