Microsoft onthult een datalek dat maar liefst 250 miljoen klantengegevens openbaar maakte vanwege een verkeerd geconfigureerde Elasticsearch-database. De database werd gelekt, doordat de instellingen van de Elasticsearch-database op ‘openbaar’ stonden.
De data werden voor het eerst gelekt op 5 december. Op 29 december ontdekten beveiligingsonderzoeker Bob Diachenko en Comparitech de kwetsbaarheid. Microsoft loste de fout snel op en stelde twee dagen later, op 31 december, de data veilig. Het bedrijf meldt geen bewijs te hebben ontdekt van kwaadwillend gebruik.
In de gelekte database stonden klantenservice-rapporten van gesprekken tussen Microsoft-personeel en klanten over de hele wereld. De rapporten gaan terug tot 2005 en bevatten onder andere e-mailadressen, IP-adressen en details over de supportaanvragen. Microsoft beweert dat de meeste rapporten geen persoonlijke informatie bevatten.
Mogelijke gevolgen
Microsoft zegt dat de grote meerderheid van de persoonlijke data die op straat lag was bewerkt. Aan de andere kant geeft Comparitech aan dat sommige informatie, zoals de e-mailadressen en IP-adressen waren opgeslagen in onbewerkte tekst. Als iemand met kwade bedoelingen toegang kreeg tot de bestanden, kon hij deze gebruiken om eenvoudig de rol van de klantenservice van Microsoft aan te nemen in een phishing-aanval.
“We willen onze oprechte excuses aanbieden en onze klanten verzekeren dat we dit serieus nemen. We werken er hard aan en ondernemen acties om te voorkomen dat er in de toekomst dergelijke fouten optreden.” verkondigt Microsoft. Het bedrijf is begonnen met het inlichten van de personen wiens data was opgeslagen op de database.
Betere controle in de toekomst
Dit is voor Microsoft al het tweede grote data-incident in een jaar tijd waarbij klantengegevens openbaar worden gemaakt. In april 2019 meldde het bedrijf dat hackers de inloggegevens van klantenservicemedewerkers hadden gebruikt om in te breken op accounts van enkele gebruikers.
Het probleem in beide gevallen is dat interne klantenserviceteams vergaande toegang hebben tot gebruikersinformatie. Dit maakt ze aantrekkelijke doelwitten voor hackers. Door het recente datalek kondigt Microsoft aan de interne veiligheidsregels te controleren en extra tools te implementeren om gevoelige gebruikersinformatie automatisch te bewerken. Ook zal het bedrijf uitgebreide waarschuwingen invoeren om service teams in te lichten wanneer er een misconfiguratie is gedetecteerd.