Le pot aux roses a été découvert par l’équipe de sécurité de Comparitech. Elle explique avoir immédiatement contacté Microsoft, qui a corrigé le problème en moins de 24h.
Le géant du Net explique de son côté qu’une mise à jour déployée le 5 décembre « contenait des règles de sécurité mal configurées » ayant conduites à laisser libre accès aux données. Microsoft ajoute que celles stockées sont normalement anonymisées, mais qu’il existe des exceptions.
C’est le cas lorsqu’une adresse email n’était pas écrite dans le bon format, notamment avec des espaces en plus comme dans « aaa @bbb ccc ». Les clients concernés ont été contactés.
Comparitech confirme que les données étaient au moins en partie anonymisées, mais ne semble pas sur la même longueur d’onde concernant les « exceptions » : « de nombreux enregistrements contenaient des données en texte brut, y compris mais sans s'y limiter : adresses e-mail des clients, adresses IP, localisation… ».
Il serait aussi question de « notes internes marquées comme ”confidentielles” ».
Commentaires (4)
#1
Les données de 250 millions de clients de Microsoft exposées en ligne, la volumétrie mise en avant par l’expert Bischoff, mais pas repris par Microsoft devrait être précisée dans l’article. On est une fois de plus dans une exposition massive de données et pas uniquement dans une erreur technique couverte en 24H.
#2
Ce ne sont pas 250 millions de clients qui sont concernés, mais la base de données comprenant 250 millions d’enregistrements, sans que les chercheurs (ni Microsoft) ne précisent combien de clients sont concernés, ni combien de « records » contenaient des données personnelles/sensibles.
" />
Comme précisé dans le brief, les chercheurs parlent de « nombreux enregistrements » avec des données en texte brut, sans donner de chiffres.
#3
J’ai reçu 3 fois le mail pour m’avertir, mais je ne vois pas quoi faire d’autre que de constater !
#4
Bah t’as rien d’autre à faire qu’être informé. Tu veux qu’ils te filent un lien pour remplir un dossier juridique ?