Een database van 250 miljoen bestanden met gesprekken tussen Microsoft-medewerkers en klanten stond een maand lang open en bloot op internet. De bestanden bevatten persoonsgebonden informatie zoals e-mailadressen en ip-adressen. De database werd eind vorig jaar door een zoekmachine geïndexeerd en vervolgens door beveiligingsonderzoekers van Comparitech ontdekt, zo maakt Microsoft zelf bekend.
De database kwam van Microsoft Support, de klantenondersteuningsdienst van de technologiereus. De techgigant hield contacten van klanten met de Microsoft-helpdesk bij op een server. Omdat die niet juist was ingesteld, konden buitenstaanders zonder tweestapsverificatie of wachtwoord binnendringen en de gegevens opslaan. De configuratiefout zorgde ervoor dat – naast de persoonsgebonden informatie – ook extra notities van medewerkers en de probleemomschrijvingen van klanten zichtbaar waren voor derden. De meest gevoelige persoonsdata, zoals contactgegevens en betaalinformatie, waren wel afgeschermd.
Volgens Microsoft werd het probleem meteen na de onthulling opgelost. De kans bestaat echter dat cybercriminelen de informatie zullen misbruiken om zich nog beter te kunnen voordoen als een Microsoft-medewerker en phishing-mails geloofwaardiger te maken, zegt Arnout Van de Meulebroucke van Phished, een Belgische startup die bedrijven helpt hun werknemers bewust te maken van cyberrisico’s. ‘Dergelijke slordigheden helpen cybercriminelen enorm. De vergaarde informatie maakt phishing-aanvallen namelijk een heel pak gemakkelijker. Cybercriminelen kunnen op heel geloofwaardige wijze en met frauduleuze bedoelingen op bestaand mailverkeer inpikken. Het spreekt voor zich dat dit phishing-aanvallen succesvoller kan maken. Wees extra attent voor mails van Microsoft-medewerkers in de komende maanden.’