A ESET alerta sobre a exposição de dados dos clientes do suporte técnico da Microsoft, resultado de um erro na configuração de um servidor que continha os registros de 14 anos de conversas entre a equipe de suporte técnico e os clientes.
Por meio de uma declaração em seu site, a Microsoft confirmou que, devido a um erro de configuração em um banco de dados interno de suporte ao cliente, foram expostos aproximadamente 250 milhões de registros das conversas entre os clientes e a equipe no período de 2005 a dezembro de 2019.
De acordo com a investigação realizada, ainda não foi detectado nenhum uso malicioso desses dados e na maioria dos casos as informações expostas não permitem a identificação do usuário. De qualquer forma, a Microsoft trouxe a tona o incidente em um ato de transparência, segundo a declaração da empresa.
A empresa de tecnologia também disse que o banco de dados foi escrito usando ferramentas automatizadas, que eliminam informações pessoais que permitem a identificação de uma pessoa, exceto em alguns casos em que as informações não estavam no formato padrão. Nos casos em que era possível identificar um usuário, a empresa enviou comunicados.
A descoberta foi feita pelo pesquisador Bob Diachenko, que relatou o erro à empresa após sua identificação, e a falha já foi resolvida pela Microsoft. Segundo o pesquisador, muitos dos registros presentes no banco de dados continham as seguintes informações do cliente:
• Endereço de email do Microsoft
• IP
• Localização
• Descrições de casos e serviço de suporte ao cliente
• Endereço de email do Microsoft Customer Support Agent
• Número do processo, resolução e comentários
• Notas internas marcadas como "confidenciais"
Caso estas informações cheguem a criminosos, elas podem ser utilizadas para, por exemplo, criar fraudes de suporte ao cliente, onde o usuário acredita estar sendo contatado pelo suporte da Microsoft, e entrega seus dados para atores mal-intencionados ou paga para resolver um problema inexistente.
"Embora possa parecer um golpe antigo, nossos usuários continuam nos relatando casos desse tipo, o que confirma que criminosos que agem dessa maneira continuam ativos e buscando novas vítimas", diz Camilo Gutierrez, chefe do laboratório de Pesquisa da ESET América Latina.
DATA MANAGEMENT FORUM
A TI INSIDE peromove no dia 28 de abril, no WTC-SP, a primeira edição do Data Management Fórum, que vai discutir questões relativas ao gerenciamento dados, banco de dados, data lake, proteção de dados, disaster recovery, IA, dataops, entre outros. Mais informações aqui.