Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Azure : quand Microsoft envoie des factures aux mauvais destinataires

It's not a feature, it's a bug
Internet 3 min
Azure : quand Microsoft envoie des factures aux mauvais destinataires
Crédits : Bluberries/iStock

Des clients Azure dans Open (AiO) ont peut être eu une mauvaise surprise aujourd'hui : ils ont découvert que leur facture a pu être envoyée à des dizaines d'autres personnes. Il ne s'agit pas de l'œuvre d'un pirate, mais d'un bug du système de facturation qui a envoyé des emails aux mauvais destinataires.

Alors que la société multiplie cette semaine les annonces, notamment avec Sony pour le Cloud Gaming et Qwant pour renforcer ses capacités mais en gardant « sa technologie d'indexation souveraine », Microsoft fait face à une fuite de données pour le moins embarrassante.

Quand le système de facturation déraille

Des factures ont en effet été envoyées aux mauvais destinataires. Par email, l'éditeur prévient les responsables des comptes concernés qu' « une facture associée à votre abonnement Azure in Open (AiO) a été partagée par inadvertance avec un autre client en raison d'une modification opérationnelle apportée au système de facturation ».

L'incident s'est produit entre mardi 14 mai à 13h35 (heure française) et mercredi 15 mai à 4h49. Le problème a depuis évidemment été réglé. Microsoft demande aux personnes concernées de supprimer les emails reçus par erreur.

De notre côté, nous pouvons confirmer avoir reçu des dizaines de factures d'autres comptes Azure mercredi matin. Microsoft ne s'étend pas davantage sur l'étendue des dégâts : nombre de comptes touchés, nombre d'emails envoyés aux mauvais destinataires, etc.

Subscription Id, email, adresse et montant de la facture

Les éléments contenus dans les factures contiennent le Subscription Id du compte, l'adresse email de l'administrateur, l'adresse postale, la méthode de paiement et le montant de la facture. Le détail des services n'est par contre pas précisé.

Le Subscription ID n'est pas un mot de passe, mais il est nécessaire pour accéder aux factures et à certaines API, il est donc important et doit rester secret. Loupé. Microsoft n'a pour le moment pas lancé de campagne de changement des Subscription Id et n'a pas non plus émis de recommandation sur le sujet.

Ce n'est pas tout, la liste des destinaires dans les emails que nous avons reçus est longue comme le bras... Autant dire que les factures en questions ont probablement été largement diffusées :

  • Azures factures mauvais destinataires
  • Azures factures mauvais destinataires

Risque de phishing en vue

Maintenant, le risque est que des personnes malintentionnées se lancent dans des tentatives de phishing en se faisant passer pour Microsoft, aidés des informations récoltées.

Pour rappel, en cas de violation de données à caractère personnel, le RGPD impose que « le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente (...) dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ».

L'incident s'est terminé mercredi matin et Microsoft a prévenu les clients concernés vendredi matin, il est donc pour le moment dans les clous. Reste à voir si les autorités compétentes ont également été informées dans les temps.

21 commentaires
Avatar de trash54 Abonné
Avatar de trash54trash54- 17/05/19 à 14:15:29

Signaler ce commentaire aux modérateurs :

Oups

Avatar de revker INpactien
Avatar de revkerrevker- 17/05/19 à 14:20:38

Signaler ce commentaire aux modérateurs :

Ce sont des choses qui arrivent. Reste à espérer qu'ils changent l'id en question au minimum.

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 17/05/19 à 14:25:35

Signaler ce commentaire aux modérateurs :

notamment avec Sony pour le Cloud Gaming et Qwant pour renforcer ses capacités

Et bien sûr, c'est une coincidence...

Avatar de Darnel Abonné
Avatar de DarnelDarnel- 17/05/19 à 14:25:44

Signaler ce commentaire aux modérateurs :

En même temps, Microsoft et bug c'est comme Roméo et Juliette

Avatar de girafe_t Abonné
Avatar de girafe_tgirafe_t- 17/05/19 à 14:27:38

Signaler ce commentaire aux modérateurs :

le problème c'est que l'Id n'est pas facile à changer, il est partout... ça revient à clore l'abonnement et en ouvrir un nouveau... or certaines ressources ne peuvent pas changer d'abonnement.
c'est comme le nom de tenant Onmicrosoft.com (Office 365, AzureAD...). Impossible de le changer.

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 17/05/19 à 14:47:33

Signaler ce commentaire aux modérateurs :

Chez d'autres comme Scaleway, les factures ne sont pas envoyées par mail, nous sommes invités à les consulter sur l'espace client.

Avatar de rg54 Abonné
Avatar de rg54rg54- 17/05/19 à 15:39:05

Signaler ce commentaire aux modérateurs :

Le fait que le SubscriptionId est une valeur qui doit rester secrète, ça se discute, quand même.

Certes, c'est une info indispensable pour se connecter à une souscription, et gérer les ressources hébergées dessus, certes. Mais sans les droits associées sur une souscription, ça donne accès à... rien.

Et pour tout ce qui est interrogation des API ou authentification OAuth, à ce que j'en sens, du moment qu'il y a utilisation d'un GUID comme le SubscriptionId, il est toujours couplé à un autre champ clairement indiqué comme étant secret.

Donc en gros, c'est aussi secret qu'un login sur n'importe quel site où on peut avoir un compte

Après, je bosse (entre autres) sur Azure depuis quelques années, mais je ne connais pas forcément tous les recoins de l'offre en détail non plus

Et ça n'enlève rien aux risques habituels de phishing sur les autres infos, on est d'accord 

Avatar de PercevalIO Abonné
Avatar de PercevalIOPercevalIO- 17/05/19 à 16:37:48

Signaler ce commentaire aux modérateurs :

Mouais enfin chez Scaleway, il y a quand même des soucis plus pénibles que ça (Online qui se fait flasher tout le temps par Yahoo en spam par exemple...) 😅

Avatar de Basenife INpactien
Avatar de BasenifeBasenife- 17/05/19 à 17:00:06

Signaler ce commentaire aux modérateurs :

Édité par gathor le 17/05/2019 à 20:12
Avatar de Elwyns INpactien
Avatar de ElwynsElwyns- 18/05/19 à 06:40:51

Signaler ce commentaire aux modérateurs :

c'pas un problème d'online, mais des serveurs merdique de Yahoo .
 

Il n'est plus possible de commenter cette actualité.
Page 1 / 3