A Microsoft não conseguiu proteger 250 milhões de logs de suporte ao cliente

Microsoft Leaks 250 Million Customer Support Logs

Pode não parecer, mas os grandes gigantes da tecnologia nunca ficam parados. Às vezes, as mudanças são invisíveis para milhões de usuários, mas nos bastidores, as empresas de TI atualizam e ajustam constantemente seus procedimentos internos para garantir uma operação simplificada e sem problemas. Não devemos esquecer, no entanto, que implementar até pequenos ajustes é um processo complicado, e erros podem acontecer. Infelizmente, a Microsoft nos mostrou ontem que, quando as coisas dão errado, as consequências costumam ser bastante assustadoras.

Tudo começou em 28 de dezembro de 2019, quando o mecanismo de busca de inteligência de ameaças BinaryEdge indexou um cluster de cinco servidores Elasticsearch, todos com uma coleção idêntica de 250 milhões de registros. Em um dia, o pesquisador de segurança Bob Diachenko descobriu os servidores e percebeu que eles não estavam protegidos por nenhuma forma de autenticação. Diachenko se uniu a pesquisadores da Comparitech, que o ajudaram a concluir que o banco de dados pertencia à Microsoft. O criador do sistema operacional mais popular do mundo foi notificado imediatamente e, um dia depois, os servidores já estavam offline. Depois de proteger os dados, a Equipe de Resposta de Segurança da Microsoft iniciou uma investigação e, ontem, contou a todos o que aconteceu.

Microsoft vazou milhões de logs de suporte

Os 250 milhões de registros foram realmente registros de suporte datados entre 2005 e dezembro de 2019. É uma vasta coleção de dados que abrange um período de tempo enorme. Felizmente, as pessoas que tiveram que recorrer à equipe de atendimento ao cliente da Microsoft durante esse período ficarão felizes em saber que a maioria das entradas não continha informações de identificação pessoal. Pedir ajuda à Microsoft geralmente envolve a apresentação de seu endereço de e-mail e, às vezes, outros detalhes de contato, mas a gigante de Redmond realmente pensou na privacidade de seus clientes e implementou mecanismos que redigem automaticamente as informações pessoais antes de armazená-las em um servidor. Esses mecanismos não são infalíveis, no entanto.

As informações inseridas em um formato não reconhecido ignorariam o procedimento de anonimização, o que significa que endereços de email com espaços neles, por exemplo, não seriam redigidos. Os especialistas em segurança da Microsoft disseram que, embora não tenham visto evidências de "uso mal-intencionado" dos dados, estão no processo de informar aos usuários que podem ser afetados.

O fato de o banco de dados ter exposto poucos dados pessoais é uma boa notícia, mas o vazamento não deve ser subestimado. Além das informações pessoais ofuscadas, os servidores Elasticsearch continham os endereços IP e informações de localização dos usuários, além de dados relacionados ao status e à natureza dos casos de suporte que eles abriram com a Microsoft. Os endereços de email dos agentes de suporte da Microsoft também foram armazenados em texto sem formatação. Em suma, havia informações suficientes para um hacker motivado lançar um ataque direcionado que poderia ter consequências bastante desastrosas.

Como os dados foram expostos e como a Microsoft lidou com o problema?

Bob Diachenko ficou impressionado com a Equipe de Resposta de Segurança da Microsoft e a reação rápida à luz do fato de que a notificação foi enviada horas antes da véspera de Ano Novo. O fornecedor do SO também merece um tapinha nas costas pela transparência com a qual descreveu os eventos que antecederam o incidente.

Em 5 de dezembro, a equipe de back-end da Microsoft fez algumas alterações no grupo de segurança de rede que hospedava o banco de dados e não percebeu que havia um erro de configuração na atualização. No relatório de ontem, Ann Johnson, vice-presidente corporativo do Cybersecurity Solutions Group da Microsoft e Eric Doerr, gerente geral do Security Response Center da Microsoft, apontaram que eles têm mecanismos em vigor que normalmente evitam vazamentos de dados causados por esse tipo de erro de configuração incorreta. Para esse banco de dados específico, no entanto, eles não foram ativados.

Em suma, o vazamento foi causado por uma infeliz cadeia de eventos e, no final das contas, não causou nenhum dano grave, o que significa que todos podemos respirar aliviados. Porém, não devemos subestimar o perigo.

A Microsoft disse que tomou várias precauções para garantir que isso não ocorra novamente, e calculamos que outras empresas que processam os dados pessoais dos usuários sigam o exemplo. O fato é que o vazamento de informações causado por bancos de dados Elasticsearch configurados incorretamente está se tornando uma ocorrência cotidiana e as pessoas parecem não perceber. Isso é preocupante porque, enquanto a Microsoft anonimiza as informações pessoais dos usuários (pelo menos quando inseridas no sistema de suporte), outras não fazem isso.

January 23, 2020
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.