Pendant près d'un mois, les coordonnées de 250 millions d'utilisateurs du support technique de Microsoft ont été accessibles en ligne, sans la moindre protection. Alerté par des experts en sécurité, Microsoft a corrigé le problème en 24 heures, mais on ne sait pas encore si des pirates ont pu accéder à ces données confidentielles.
Microsoft a laissé les données personnelles de 250 millions de clients sans surveillance

L’année 2019 s’est terminée par un grave incident de sécurité chez Microsoft. Le 29 décembre, Bob Diachenko chercheur en cybersécurité, assisté d'une équipe de chez Comparitech ont découvert 250 millions de dossiers en provenance du service clients de Microsoft, mis en ligne sans la moindre protection, accessibles depuis un simple navigateur sans aucun mot de passe. Comparitech a détaillé la découverte dans un billet de blog.

L’équipe a trouvé cinq serveurs Elasticsearch, contenant des dossiers du service clients de Microsoft sur une période de 14 ans, débutant en 2005. Les données ont d’abord été indexées le 28 décembre 2019 par le moteur de recherche BinaryEdge, avant d’être découvertes par le chercheur le lendemain. Les dossiers contenaient les adresses e-mail des clients, leurs adresses IP, leur localisation géographique, les descriptions des réclamations, les e-mails des agents Microsoft, les numéros de dossiers, les solutions, des...