Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Microsoft : une « mauvaise configuration » ouvre aux quatre vents une base de données du service client

Le pot aux roses a été découvert par l’équipe de sécurité de Comparitech. Elle explique avoir immédiatement contacté Microsoft, qui a corrigé le problème en moins de 24h.

Le géant du Net explique de son côté qu’une mise à jour déployée le 5 décembre « contenait des règles de sécurité mal configurées » ayant conduites à laisser libre accès aux données. Microsoft ajoute que celles stockées sont normalement anonymisées, mais qu’il existe des exceptions.

C’est le cas lorsqu’une adresse email n’était pas écrite dans le bon format, notamment avec des espaces en plus comme dans « aaa @bbb ccc ». Les clients concernés ont été contactés.

Comparitech confirme que les données étaient au moins en partie anonymisées, mais ne semble pas sur la même longueur d’onde concernant les « exceptions » : « de nombreux enregistrements contenaient des données en texte brut, y compris mais sans s'y limiter : adresses e-mail des clients, adresses IP, localisation… ».

Il serait aussi question de « notes internes marquées comme ”confidentielles” ».

4 commentaires
Avatar de xamoon Abonné
Avatar de xamoonxamoon- 23/01/20 à 10:18:45

Les données de 250 millions de clients de Microsoft exposées en ligne, la volumétrie mise en avant par l'expert Bischoff, mais pas repris par Microsoft devrait être précisée dans l'article. On est une fois de plus dans une exposition massive de données et pas uniquement dans une erreur technique couverte en 24H.

Édité par xamoon le 23/01/2020 à 10:19
Avatar de gathor Équipe
Avatar de gathorgathor- 23/01/20 à 10:55:03

Ce ne sont pas 250 millions de clients qui sont concernés, mais la base de données comprenant 250 millions d’enregistrements, sans que les chercheurs (ni Microsoft) ne précisent combien de clients sont concernés, ni combien de « records » contenaient des données personnelles/sensibles.
Comme précisé dans le brief, les chercheurs parlent de « nombreux enregistrements » avec des données en texte brut, sans donner de chiffres. :chinois:

Avatar de Edtech Abonné
Avatar de EdtechEdtech- 23/01/20 à 11:28:50

J'ai reçu 3 fois le mail pour m'avertir, mais je ne vois pas quoi faire d'autre que de constater !

Avatar de Ozwel INpactien
Avatar de OzwelOzwel- 23/01/20 à 14:31:50

Bah t'as rien d'autre à faire qu'être informé. Tu veux qu'ils te filent un lien pour remplir un dossier juridique ?

Il n'est plus possible de commenter cette actualité.