Microsoft heeft via een onbeveiligde database miljoenen klantgegevens gelekt. Volgens het techbedrijf was de klantensupportdatabase door een misconfiguratie 25 dagen lang voor iedereen op internet toegankelijk. De database, die 250 miljoen records bevatte, werd door een zoekmachine geïndexeerd en vervolgens door beveiligingsonderzoeker Bob Diachenko ontdekt.
De miljoenen records bleken logs te bevatten van gesprekken tussen Microsoftmedewerkers en klanten van over de gehele wereld. Het ging om een periode van 14 jaar, van 2005 tot december 2019. De data was voor iedereen op internet met een browser toegankelijk. Er was geen wachtwoord of andere vorm van authenticatie vereist. Microsoft en Diachenko stellen dat de meeste persoonlijke identificeerbare informatie, zoals e-mailnamen, contractnummers en betaalinformatie, was verwijderd.
In veel records werden echter toch persoonlijke gegevens aangetroffen, zoals e-mailadressen, ip-adressen, locaties, oplossingen, interne notities gemarkeerd als vertrouwelijk en andere zaken. Diachenko waarschuwde Microsoft op 29 december. Een dag later was de database beveiligd. In een verklaring stelt Microsoft dat door een misconfiguratie in de network security group van de database die sinds 5 december voor iedereen toegankelijk was.
"Misconfiguraties zijn helaas een veelgemaakte fout in de industrie. We hebben oplossingen om dit soort fouten te voorkomen, maar helaas stonden die voor deze database niet ingeschakeld", zegt Ann Johnson van Microsoft. Johnson stelt dat onderzoek naar de database geen misbruik heeft aangetoond. Microsoft zal alle getroffen klanten informeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.