У той час як більшість людей святкували початок нового року, команда безпеки Microsoft працювала понаднормово, щоб закрити потенційно величезну діру у безпеці. Компанія розказала про помилку бази даних, через яку приблизно 250 млн записів про клієнтську та технічну підтримку були доступні будь-кому, хто користується веб-браузером.
Дослідник безпеки Боб Дьяченко (Bob Diachenko) та Comparitech виявили уразливість 29 грудня. Microsoft швидко виправила проблему за два дні. Як було зазначено, що проблема була викликана «неправильною конфігурацією» однією з її внутрішніх баз даних підтримки клієнтів. Компанія стверджує, що не знайшла доказів «не коректного використання». Сервер містив журнали розмов, датовані ще 2005 роком, між персоналом служби підтримки Microsoft і клієнтами з усього світу. За даними Comparitech, база даних не була захищена паролем.
Microsoft говорить, що «переважна більшість» розкритих особистих даних змінена. Однак Comparitech зазначає, що деяка інформація, така як адреси електронної пошти та IP-адреси, була збережена у вигляді простого тексту. Якби хтось зміг отримати доступ до журналів, вони могли б використовувати їх у фішинговій схемі. Компанія почала повідомляти людей, чиї дані були збережені в базі даних.
Разом з тим Microsoft заявляє, що планує провести аудит своїх внутрішніх правил безпеки, а також впровадити додаткові інструменти для автоматичного редагування конфіденційної інформації користувачів. Крім того, будуть введені нові і розширені сповіщення при виявленні неправильної конфігурації системи безпеки.
Для Microsoft це вже другий великий інцидент в області безпеки даних, пов’язаний з системою підтримки клієнтів за один рік. У квітні 2019 року компанія розказала, що хакери використовували облікові дані представника служби підтримки для злому облікових записів електронної пошти деяких своїх користувачів. Врешті-решт, проблема в обох випадках полягає в тому, що внутрішні системи підтримки мають практично безпрецедентний рівень доступу до інформації користувачів, що робить їх привабливими для хакерів.