Vanwege een verkeerde configuratie was een klantensupportdatabase van Microsoft 25 dagen lang voor iedereen op internet in te zien. In de database bevonden zich 250 miljoen records die door een zoekmachine werden geïndexeerd.
Beveiligingsonderzoeker Bob Diachenko ontdekte het datalek op 29 december 2019 en informeerde het techbedrijf hierover.
Klantgesprekken
De miljoenen records bevatten logs van gesprekken tussen Microsoft-medewerkers en klanten. Het betrof de periode van 2005 tot december 2019. De gegevens waren via internet voor iedereen te bekijken, zonder dat hier een wachtwoord of andere manier van authenticatie voor nodig was. In veel records werden persoonlijke gegevens aangetroffen, waaronder e-mailadressen, IP-adressen, locaties, oplossingen en interne notities. Microsoft dichtte het lek op 30 december 2019, een dag na de melding van Diachenko.
Misconfiguratie
“Misconfiguraties zijn helaas een veelgemaakte fout in de industrie. We hebben oplossingen om dit soort fouten te voorkomen, maar helaas stonden die voor deze database niet ingeschakeld”, verklaart Ann Johnson van Microsoft. Onderzoek naar de database heeft volgens haar geen misbruik aangetoond. Microsoft gaat alle klanten die het betreft informeren over het voorval.
Klik hier voor de verklaring van Microsoft.