Microsoft reveló la exposición de aproximadamente 250 millones de registros debido a “un error de configuración en la base de datos de soporte a clientes” como lo denominó la compañía. Esta base de datos forma parte del sistema con el cual dan seguimiento a los casos de soporte.

Los registros expuestos corresponden a alrededor de 14 años de conversaciones entre los representantes de soporte de Microsoft y los clientes. Y para acceder a los registros solo era necesario contar con un navegador web, ya que no se requería contar con alguna contraseña o autenticación.

Microsoft informó que el error fue específico de la base de datos de soporte y no indicó una exposición de sus servicios comerciales en la nube. Debido a la política de la compañía, la información expuesta de los registros no contenía información personal de los clientes; sin embargo, acorde a los investigadores, en algunos casos los registros no fueron sanitizados correctamente y era posible obtener información de los clientes como direcciones de correo electrónico, direcciones IP, ubicaciones, y motivo por el cual solicitaban el soporte.
La brecha fue descubierta por el investigador de seguridad Bob Diachenko el día 29 de diciembre, y los registros fueron asegurados por Microsoft un día después. Cabe destacar que Diachenko junto con su equipo, han descubierto varias brechas de seguridad de grandes compañías como Adobe Creative Cloud y Honda Motor Co.

Referencias:
https://www.bleepingcomputer.com/news/security/microsoft-exposes-250m-customer-support-records-on-leaky-servers/
https://www.comparitech.com/blog/information-security/microsoft-customer-service-data-leak/
https://www.geekwire.com/2020/microsoft-exposed-250m-customer-service-records-due-misconfiguration-internal-database/