Microsoft non è riuscita a proteggere 250 milioni di registri dell'assistenza clienti

Potrebbe non sembrare così, ma i giganti della tecnologia non si fermano mai. A volte, i cambiamenti sono invisibili a milioni di utenti, ma dietro le quinte le aziende IT aggiornano e modificano costantemente le loro procedure interne per garantire un'operazione semplificata e senza intoppi. Non dobbiamo dimenticare, tuttavia, che implementare anche piccole modifiche è un processo complicato e possono verificarsi errori. Sfortunatamente, Microsoft ci ha mostrato ieri che quando le cose vanno male, le conseguenze sono spesso piuttosto terrificanti.

Tutto è iniziato il 28 dicembre 2019, quando il motore di ricerca dell'intelligence sulle minacce BinaryEdge ha indicizzato un cluster di cinque server Elasticsearch, che contenevano tutti una raccolta identica di 250 milioni di record. Nel giro di un giorno, il ricercatore di sicurezza Bob Diachenko ha scoperto i server e si è reso conto che non erano protetti da alcuna forma di autenticazione. Diachenko ha collaborato con ricercatori di Comparitech che lo hanno aiutato a giungere alla conclusione che il database appartenesse a Microsoft. Il produttore del sistema operativo più famoso al mondo è stato avvisato immediatamente e il giorno dopo i server erano già offline. Dopo aver protetto i dati, il Security Response Team di Microsoft ha avviato un'indagine e ieri hanno riferito a tutti cosa è successo.

Microsoft ha fatto trapelare milioni di registri di supporto

I 250 milioni di record erano in realtà registri di supporto datati tra il 2005 e il dicembre 2019. È una vasta raccolta di dati che abbraccia un periodo di tempo enorme. Fortunatamente, le persone che hanno dovuto ricorrere al team del servizio clienti di Microsoft durante quel periodo saranno felici di apprendere che la maggior parte delle voci non conteneva informazioni di identificazione personale. Chiedere aiuto a Microsoft di solito implica presentare il tuo indirizzo e-mail e, a volte, altri dettagli di contatto, ma il gigante con sede a Redmond ha effettivamente pensato alla privacy dei suoi clienti e ha implementato meccanismi che redattono automaticamente le informazioni personali prima di memorizzarle su un server. Tuttavia, questi meccanismi non sono infallibili.

Le informazioni inserite in un formato non riconosciuto ignorerebbero la procedura di anonimizzazione, il che significa che gli indirizzi e-mail con spazi al loro interno, ad esempio, non verrebbero redatti. Gli esperti di sicurezza di Microsoft hanno affermato che, sebbene non abbiano visto prove di "uso dannoso" dei dati, stanno informando gli utenti che potrebbero essere interessati.

Il fatto che il database abbia esposto pochi dati personali è una buona notizia, ma la perdita non deve essere sottovalutata. Oltre alle informazioni personali per lo più offuscate, i server Elasticsearch contenevano gli indirizzi IP e le informazioni sulla posizione degli utenti, nonché i dati relativi allo stato e alla natura dei casi di supporto che hanno aperto con Microsoft. Gli indirizzi e-mail degli agenti dell'assistenza Microsoft sono stati archiviati anche in testo semplice. Tutto sommato, c'erano abbastanza informazioni per un hacker motivato per lanciare un attacco mirato che avrebbe potuto avere conseguenze piuttosto disastrose.

Come sono stati esposti i dati e come ha gestito Microsoft il problema?

Bob Diachenko è rimasto impressionato dal Security Response Team di Microsoft e dalla rapida reazione alla luce del fatto che la notifica è stata inviata ore prima di Capodanno. Il fornitore del sistema operativo merita anche una pacca sulla spalla per la trasparenza con cui ha descritto gli eventi che hanno portato all'incidente.

Il 5 dicembre, il team di backend di Microsoft ha apportato alcune modifiche al gruppo di sicurezza della rete che ha ospitato il database e non ha notato che si era verificato un errore di configurazione nell'aggiornamento. Nel rapporto di ieri, Ann Johnson, Vicepresidente aziendale del Cybersecurity Solutions Group di Microsoft ed Eric Doerr, Direttore generale del Security Response Center di Microsoft, hanno sottolineato che sono in atto meccanismi che impedirebbero la fuga di dati causati da questo tipo di errore di configurazione errata. Per questo particolare database, tuttavia, non sono stati attivati.

Tutto sommato, la perdita è stata causata da una sfortunata catena di eventi e alla fine non è riuscito a causare alcun danno grave, il che significa che tutti possiamo emettere un sospiro di sollievo. Tuttavia, non dobbiamo sottovalutare il pericolo.

Microsoft ha affermato che sono state prese alcune precauzioni per garantire che ciò non si verifichi più, e riteniamo che altre società che elaborano i dati personali degli utenti dovrebbero seguire l'esempio. Il fatto è che le perdite di informazioni causate da database Elasticsearch non configurati stanno diventando un evento quotidiano e le persone non sembrano accorgersene. Questo è preoccupante perché mentre Microsoft anonimizza le informazioni personali degli utenti (almeno quando sono inserite nel sistema di supporto), altri non lo fanno.