Azure : quand Microsoft envoie des factures aux mauvais destinataires
It's not a feature, it's a bug
Des clients Azure dans Open (AiO) ont peut être eu une mauvaise surprise aujourd'hui : ils ont découvert que leur facture a pu être envoyée à des dizaines d'autres personnes. Il ne s'agit pas de l'œuvre d'un pirate, mais d'un bug du système de facturation qui a envoyé des emails aux mauvais destinataires.
Alors que la société multiplie cette semaine les annonces, notamment avec Sony pour le Cloud Gaming et Qwant pour renforcer ses capacités mais en gardant « sa technologie d'indexation souveraine », Microsoft fait face à une fuite de données pour le moins embarrassante.
Quand le système de facturation déraille
Des factures ont en effet été envoyées aux mauvais destinataires. Par email, l'éditeur prévient les responsables des comptes concernés qu' « une facture associée à votre abonnement Azure in Open (AiO) a été partagée par inadvertance avec un autre client en raison d'une modification opérationnelle apportée au système de facturation ».
L'incident s'est produit entre mardi 14 mai à 13h35 (heure française) et mercredi 15 mai à 4h49. Le problème a depuis évidemment été réglé. Microsoft demande aux personnes concernées de supprimer les emails reçus par erreur.
De notre côté, nous pouvons confirmer avoir reçu des dizaines de factures d'autres comptes Azure mercredi matin. Microsoft ne s'étend pas davantage sur l'étendue des dégâts : nombre de comptes touchés, nombre d'emails envoyés aux mauvais destinataires, etc.
Subscription Id, email, adresse et montant de la facture
Les éléments contenus dans les factures contiennent le Subscription Id du compte, l'adresse email de l'administrateur, l'adresse postale, la méthode de paiement et le montant de la facture. Le détail des services n'est par contre pas précisé.
Le Subscription ID n'est pas un mot de passe, mais il est nécessaire pour accéder aux factures et à certaines API, il est donc important et doit rester secret. Loupé. Microsoft n'a pour le moment pas lancé de campagne de changement des Subscription Id et n'a pas non plus émis de recommandation sur le sujet.
Ce n'est pas tout, la liste des destinaires dans les emails que nous avons reçus est longue comme le bras... Autant dire que les factures en questions ont probablement été largement diffusées :
Risque de phishing en vue
Maintenant, le risque est que des personnes malintentionnées se lancent dans des tentatives de phishing en se faisant passer pour Microsoft, aidés des informations récoltées.
Pour rappel, en cas de violation de données à caractère personnel, le RGPD impose que « le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente (...) dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ».
L'incident s'est terminé mercredi matin et Microsoft a prévenu les clients concernés vendredi matin, il est donc pour le moment dans les clous. Reste à voir si les autorités compétentes ont également été informées dans les temps.
Commentaires (18)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 18/05/2019 à 15h32
Désolé, je suis un fan des Nuls et de Pérusse et pourtant je n’ai rien vu venir en ce sens.
Un équivalent d’un “Oh bah ça ça tombe bien alors” et j’aurais surement été plus enclin à saisir l’ironie :)
(et le fait que NXI est autant envahi de complotistes et propagandistes en tout genre que n’importe quel autre site fait qu’on a tendance à se mettre sur nos gardes je pense…)
Le 18/05/2019 à 22h07
Toujours sensible les systèmes comptable en plus ils doivent toujours être à jour pour suivre le moindre changement législatif un vrai bordel.
Le 20/05/2019 à 07h11
Pour accéder à une API via oAuth, avec le système d’identification “client credentials”, il y a effectivement un “client_id” (ici le SubscriptionId) couplé à un “client_secret”. Ces deux informations permettent d’identifier quelle “interface client” se connecte à l’API, mais pas quel utilisateur.
Je suppose donc (je ne connais pas le service) que Microsoft utilise le système “password credentials” qui lui demande en plus l’email et le mot de passe de l’utilisateur. Et dans la fuite actuelle il y a donc le client_id et l’email qui sont dévoilés, mais il resterait le client_secret et le mot de passe de l’utilisateur à trouver pour accéder au service.
Donc, oui, le SubscriptionId ne devrait pas être dévoilé, mais seul il ne sert “à rien”.
Le 21/05/2019 à 07h31
Azure c’est comme AWS et GCP en moins bien c’est ça ?
" />
Le 21/05/2019 à 10h55
Hey! J’ai préparé des photos sexy pour vous! Cliquez ici et obtenez-le maintenant)http://datinghookupmeet.ga/marta
Le 17/05/2019 à 14h15
Oups
" />
Le 17/05/2019 à 14h20
Ce sont des choses qui arrivent. Reste à espérer qu’ils changent l’id en question au minimum.
Le 17/05/2019 à 14h25
notamment avec Sony pour le Cloud Gaming et Qwant pour renforcer ses capacités
Et bien sûr, c’est une coincidence…
Le 17/05/2019 à 14h25
En même temps, Microsoft et bug c’est comme Roméo et Juliette
" />
Le 17/05/2019 à 14h27
le problème c’est que l’Id n’est pas facile à changer, il est partout… ça revient à clore l’abonnement et en ouvrir un nouveau… or certaines ressources ne peuvent pas changer d’abonnement.
c’est comme le nom de tenant Onmicrosoft.com (Office 365, AzureAD…). Impossible de le changer.
Le 17/05/2019 à 14h47
Chez d’autres comme Scaleway, les factures ne sont pas envoyées par mail, nous sommes invités à les consulter sur l’espace client.
Le 17/05/2019 à 15h39
Le fait que le SubscriptionId est une valeur qui doit rester secrète, ça se discute, quand même.
" />
Certes, c’est une info indispensable pour se connecter à une souscription, et gérer les ressources hébergées dessus, certes. Mais sans les droits associées sur une souscription, ça donne accès à… rien.
Et pour tout ce qui est interrogation des API ou authentification OAuth, à ce que j’en sens, du moment qu’il y a utilisation d’un GUID comme le SubscriptionId, il est toujours couplé à un autre champ clairement indiqué comme étant secret.
Donc en gros, c’est aussi secret qu’un login sur n’importe quel site où on peut avoir un compte
Après, je bosse (entre autres) sur Azure depuis quelques années, mais je ne connais pas forcément tous les recoins de l’offre en détail non plus
Et ça n’enlève rien aux risques habituels de phishing sur les autres infos, on est d’accord
Le 17/05/2019 à 16h37
Mouais enfin chez Scaleway, il y a quand même des soucis plus pénibles que ça (Online qui se fait flasher tout le temps par Yahoo en spam par exemple…) 😅
Le 18/05/2019 à 06h40
c’pas un problème d’online, mais des serveurs merdique de Yahoo .
Le 18/05/2019 à 06h52
Le 18/05/2019 à 07h45
Le 18/05/2019 à 12h08
Et je n’aimerais pas vivre dans un monde où il n’y a ni ironie ni second degré
" />
Le 18/05/2019 à 13h08
Mon détecteur d’ironie et de second degré était en panne comme le sien.