250 millones de registros de soporte al cliente de Microsoft expuestos en línea

estafas de atención al cliente de tecnología de microsoft

Si alguna vez se comunicó con Microsoft para obtener soporte en los últimos 14 años, es posible que su consulta técnica, junto con cierta información de identificación personal, se haya visto comprometida.

Microsoft admitió hoy un incidente de seguridad que expuso casi 250 millones de registros de «Servicio y soporte al cliente» (CSS) en Internet debido a un servidor mal configurado que contenía registros de conversaciones entre su equipo de soporte y los clientes.

Según Bob Diachenko, un investigador de seguridad cibernética que detectó la base de datos desprotegida e informó a Microsoft, los registros contenían registros que abarcaban desde 2005 hasta diciembre de 2019.

En una publicación de blog, Microsoft confirmó que, debido a las reglas de seguridad mal configuradas agregadas al servidor en cuestión el 5 de diciembre de 2019, se permitió la exposición de los datos, que permaneció igual hasta que los ingenieros remediaron la configuración el 31 de diciembre de 2019.

Microsoft también dijo que la base de datos se redactó utilizando herramientas automatizadas para eliminar la información de identificación personal de la mayoría de los clientes, excepto en algunos escenarios en los que la información no tenía el formato estándar.

“Nuestra investigación confirmó que la gran mayoría de los registros se borraron de información personal de acuerdo con nuestras prácticas estándar”, dijo Microsoft.

Sin embargo, según Diachenko, muchos registros en la base de datos filtrada contenían datos legibles sobre los clientes, incluidos sus:

  • correos electrónicos,
  • Direcciones IP,
  • Ubicaciones,
  • Descripciones de reclamos y casos de CSS,
  • Correos electrónicos del agente de soporte de Microsoft,
  • Números de casos, resoluciones y observaciones,
  • Notas internas marcadas como «confidencial».

“Este problema era específico de una base de datos interna utilizada para el análisis de casos de soporte y no representa una exposición de nuestros servicios comerciales en la nube”, dijo Microsoft.

Al tener a mano información de casos confidenciales reales y direcciones de correo electrónico de los clientes afectados, los estafadores de soporte técnico podrían abusar de los datos filtrados para engañar a los usuarios para que paguen por problemas informáticos inexistentes haciéndose pasar por representantes de soporte de Microsoft.

«La ausencia de información de identificación personal en el basurero es irrelevante aquí, dado que los registros de soporte técnico exponen con frecuencia a clientes VIP, sus sistemas internos y configuraciones de red, e incluso contraseñas. Los datos son una mina de oro para los criminales pacientes que buscan violar grandes organizaciones y gobiernos», dijo Ekaterina Khrustaleva, directora de operaciones de ImmuniWeb, a The Hacker News.

«Peor aún, muchas grandes empresas y no solo Microsoft han perdido la visibilidad de su superficie de ataque externa, exponiendo a sus clientes y socios a riesgos significativos. Es probable que veamos una multitud de incidentes similares en 2020».

El evangelista de defensa basada en datos de KnowBe4, Roger Grimes, también compartió su comentario y experiencia con The Hacker News, diciendo:

«Después de haber trabajado para Microsoft durante 15 años, 11 años como empleado de tiempo completo, he visto de primera mano cuánto intentan luchar contra escenarios como este. Hay varias capas de controles y educación diseñadas para evitar que suceda. Y es le muestra lo difícil que es prevenirlo el 100 % del tiempo.Nada es perfecto.Los errores y las filtraciones ocurren.Toda organización tiene permisos demasiado permisivos.¡Cada! de eso.»

«En este caso, a pesar de lo malo que es, fue descubierto por alguien que no hizo nada malicioso con él. Claro, los datos, que se encuentran desprotegidos, también podrían haber sido utilizados por los malos, pero hasta ahora, nadie ha hecho ese caso o ha proporcionado evidencia de que ha sido utilizado maliciosamente”, agregó Grimes.

«Cualquiera puede cometer un error. La pregunta más importante es cómo ocurrió el error y cómo evitar que suceda la próxima vez, y si otros podrían haber ocurrido por el mismo conjunto de circunstancias».

Como resultado de este incidente, la compañía dijo que comenzó a notificar a los clientes afectados cuyos datos estaban presentes en la base de datos expuesta de Servicio y soporte al cliente.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática