Microsoft : une « mauvaise configuration » ouvre aux quatre vents une base de données du service client
Le 23 janvier 2020 à 09h06
1 min
Internet
Internet
Le pot aux roses a été découvert par l’équipe de sécurité de Comparitech. Elle explique avoir immédiatement contacté Microsoft, qui a corrigé le problème en moins de 24 h.
Le géant du Net explique de son côté qu’une mise à jour déployée le 5 décembre « contenait des règles de sécurité mal configurées » ayant conduites à laisser libre accès aux données. Microsoft ajoute que celles stockées sont normalement anonymisées, mais qu’il existe des exceptions.
C’est le cas lorsqu’une adresse email n’était pas écrite dans le bon format, notamment avec des espaces en plus comme dans « aaa @bbb ccc ». Les clients concernés ont été contactés.
Comparitech confirme que les données étaient au moins en partie anonymisées, mais ne semble pas sur la même longueur d’onde concernant les « exceptions » : « de nombreux enregistrements contenaient des données en texte brut, y compris mais sans s'y limiter : adresses e-mail des clients, adresses IP, localisation… ».
Il serait aussi question de « notes internes marquées comme ”confidentielles” ».
Le 23 janvier 2020 à 09h06
Commentaires (4)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 23/01/2020 à 14h31
Bah t’as rien d’autre à faire qu’être informé. Tu veux qu’ils te filent un lien pour remplir un dossier juridique ?
Le 23/01/2020 à 10h18
Les données de 250 millions de clients de Microsoft exposées en ligne, la volumétrie mise en avant par l’expert Bischoff, mais pas repris par Microsoft devrait être précisée dans l’article. On est une fois de plus dans une exposition massive de données et pas uniquement dans une erreur technique couverte en 24H.
Le 23/01/2020 à 10h55
Ce ne sont pas 250 millions de clients qui sont concernés, mais la base de données comprenant 250 millions d’enregistrements, sans que les chercheurs (ni Microsoft) ne précisent combien de clients sont concernés, ni combien de « records » contenaient des données personnelles/sensibles.
" />
Comme précisé dans le brief, les chercheurs parlent de « nombreux enregistrements » avec des données en texte brut, sans donner de chiffres.
Le 23/01/2020 à 11h28
J’ai reçu 3 fois le mail pour m’avertir, mais je ne vois pas quoi faire d’autre que de constater !