Azure : quand Microsoft envoie des factures aux mauvais destinataires

Azure : quand Microsoft envoie des factures aux mauvais destinataires

It's not a feature, it's a bug

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

17/05/2019 3 minutes
21

Azure : quand Microsoft envoie des factures aux mauvais destinataires

Des clients Azure dans Open (AiO) ont peut être eu une mauvaise surprise aujourd'hui : ils ont découvert que leur facture a pu être envoyée à des dizaines d'autres personnes. Il ne s'agit pas de l'œuvre d'un pirate, mais d'un bug du système de facturation qui a envoyé des emails aux mauvais destinataires.

Alors que la société multiplie cette semaine les annonces, notamment avec Sony pour le Cloud Gaming et Qwant pour renforcer ses capacités mais en gardant « sa technologie d'indexation souveraine », Microsoft fait face à une fuite de données pour le moins embarrassante.

Quand le système de facturation déraille

Des factures ont en effet été envoyées aux mauvais destinataires. Par email, l'éditeur prévient les responsables des comptes concernés qu' « une facture associée à votre abonnement Azure in Open (AiO) a été partagée par inadvertance avec un autre client en raison d'une modification opérationnelle apportée au système de facturation ».

L'incident s'est produit entre mardi 14 mai à 13h35 (heure française) et mercredi 15 mai à 4h49. Le problème a depuis évidemment été réglé. Microsoft demande aux personnes concernées de supprimer les emails reçus par erreur.

De notre côté, nous pouvons confirmer avoir reçu des dizaines de factures d'autres comptes Azure mercredi matin. Microsoft ne s'étend pas davantage sur l'étendue des dégâts : nombre de comptes touchés, nombre d'emails envoyés aux mauvais destinataires, etc.

Subscription Id, email, adresse et montant de la facture

Les éléments contenus dans les factures contiennent le Subscription Id du compte, l'adresse email de l'administrateur, l'adresse postale, la méthode de paiement et le montant de la facture. Le détail des services n'est par contre pas précisé.

Le Subscription ID n'est pas un mot de passe, mais il est nécessaire pour accéder aux factures et à certaines API, il est donc important et doit rester secret. Loupé. Microsoft n'a pour le moment pas lancé de campagne de changement des Subscription Id et n'a pas non plus émis de recommandation sur le sujet.

Ce n'est pas tout, la liste des destinaires dans les emails que nous avons reçus est longue comme le bras... Autant dire que les factures en questions ont probablement été largement diffusées :

  • Azures factures mauvais destinataires
  • Azures factures mauvais destinataires

Risque de phishing en vue

Maintenant, le risque est que des personnes malintentionnées se lancent dans des tentatives de phishing en se faisant passer pour Microsoft, aidés des informations récoltées.

Pour rappel, en cas de violation de données à caractère personnel, le RGPD impose que « le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente (...) dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ».

L'incident s'est terminé mercredi matin et Microsoft a prévenu les clients concernés vendredi matin, il est donc pour le moment dans les clous. Reste à voir si les autorités compétentes ont également été informées dans les temps.

21

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Quand le système de facturation déraille

Subscription Id, email, adresse et montant de la facture

Risque de phishing en vue

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (21)


Ce sont des choses qui arrivent. Reste à espérer qu’ils changent l’id en question au minimum.




notamment avec Sony pour le Cloud Gaming et Qwant pour renforcer ses capacités





Et bien sûr, c’est une coincidence… <img data-src=" />


En même temps, Microsoft et bug c’est comme Roméo et Juliette <img data-src=" />


le problème c’est que l’Id n’est pas facile à changer, il est partout… ça revient à clore l’abonnement et en ouvrir un nouveau… or certaines ressources ne peuvent pas changer d’abonnement.

c’est comme le nom de tenant Onmicrosoft.com (Office 365, AzureAD…). Impossible de le changer.


Chez d’autres comme Scaleway, les factures ne sont pas envoyées par mail, nous sommes invités à les consulter sur l’espace client.


Le fait que le SubscriptionId est une valeur qui doit rester secrète, ça se discute, quand même.



Certes, c’est une info indispensable pour se connecter à une souscription, et gérer les ressources hébergées dessus, certes. Mais sans les droits associées sur une souscription, ça donne accès à… rien.



Et pour tout ce qui est interrogation des API ou authentification OAuth, à ce que j’en sens, du moment qu’il y a utilisation d’un GUID comme le SubscriptionId, il est toujours couplé à un autre champ clairement indiqué comme étant secret.



Donc en gros, c’est aussi secret qu’un login sur n’importe quel site où on peut avoir un compte



Après, je bosse (entre autres) sur Azure depuis quelques années, mais je ne connais pas forcément tous les recoins de l’offre en détail non plus



Et ça n’enlève rien aux risques habituels de phishing sur les autres infos, on est d’accord&nbsp;<img data-src=" />


Mouais enfin chez Scaleway, il y a quand même des soucis plus pénibles que ça (Online qui se fait flasher tout le temps par Yahoo en spam par exemple…) 😅


c’pas un problème d’online, mais des serveurs merdique de Yahoo .

&nbsp;








Obidoub a écrit :



Chez d’autres comme Scaleway, les factures ne sont pas envoyées par mail, nous sommes invités à les consulter sur l’espace client.





Depuis une semaine je reçois de fausses demandes de paiement de Online par mail, avec un lien pour le paiement en ligne sur un site visiblement hacké :( Mais heureusement ça fait plus d’un an que j’ai tout résilié chez Online :)

&nbsp;









Jarodd a écrit :



Et bien sûr, c’est une coincidence… <img data-src=" />







Ca arrive partout ce genre d’erreur. C’est comme ça qu’un client a découvert qu’une SSII facturait une personne en prestation à temps plein à 3 autres… Parce que la boîte en question a envoyé les factures aux mauvais clients.



Pas besoin de voir de théorie du complot (j’aimerais vraiment pas vivre dans votre monde franchement, ça doit être difficile de voir des complots partout au quotidien), l’erreur humaine suffit.



Et je n’aimerais pas vivre dans un monde où il n’y a ni ironie ni second degré <img data-src=" />


Mon détecteur d’ironie et de second degré était en panne comme le sien.


Désolé, je suis un fan des Nuls et de Pérusse et pourtant je n’ai rien vu venir en ce sens.



Un équivalent d’un “Oh bah ça ça tombe bien alors” et j’aurais surement été plus enclin à saisir l’ironie :)



(et le fait que NXI est autant envahi de complotistes et propagandistes en tout genre que n’importe quel autre site fait qu’on a tendance à se mettre sur nos gardes je pense…)


Toujours sensible les systèmes comptable en plus ils doivent toujours être à jour pour suivre le moindre changement législatif un vrai bordel.


Pour accéder à une API via oAuth, avec le système d’identification “client credentials”,&nbsp; il y a effectivement un “client_id” (ici le SubscriptionId) couplé à un “client_secret”. Ces deux informations permettent d’identifier quelle “interface client” se connecte à l’API, mais pas quel utilisateur.

Je suppose donc (je ne connais pas le service) que Microsoft utilise le système “password credentials” qui lui demande en plus l’email et le mot de passe de l’utilisateur. Et dans la fuite actuelle il y a donc le client_id et l’email qui sont dévoilés, mais il resterait le client_secret et le mot de passe de l’utilisateur à trouver pour accéder au service.

Donc, oui, le SubscriptionId ne devrait pas être dévoilé, mais seul il ne sert “à rien”.


Azure c’est comme AWS et GCP en moins bien c’est ça ? <img data-src=" />


Hey! J’ai préparé des photos sexy pour vous! Cliquez ici et obtenez-le maintenant)http://datinghookupmeet.ga/marta