Une équipe de chercheurs en sécurité menée par Bob Diachenko a confirmé le 28 décembre dernier qu’une base de données relatives aux activités d’assistance utilisateurs de Microsoft était librement accessible en ligne.
Une découverte faite la veille par le moteur de recherche BinaryEdge et qui concernerait pas moins de 250 millions d’enregistrements. Informé, l’éditeur de Redmond a réagi plutôt rapidement et colmaté les brèches dès le lendemain.
Parmi les informations disponibles, les adresses emails et IP des utilisateurs et d’autres données sur les raisons de leurs appels au support de l’éditeur. Bref, largement de quoi inspirer des malveillants qui auraient aisément pu se faire passer pour des employés du service de support aux usagers et abuser les consommateurs.
Microsoft n’a, semble-t-il, trouvé aucune preuve que ces données aient été accédées ni utilisées à des fins frauduleuses.
A priori le problème résulte d’une mauvaise configuration des règles de sécurité suite à une intervention début décembre. L’entreprise assure qu’elle va auditer son système et prendre des mesures pour renforcer la sécurisation, notamment en renforçant les dispositifs d’alerte et en mettant en place une automatisation plus poussée. Les clients potentiellement concernés seront contactés par les équipes de Microsoft.