Microsoft lämnade kundtjänster och supportanmärkningar öppna online, avslöjade företaget i ett blogginlägg idag. Detta problem upptäcktes först av en säkerhetsforskningsteam ledd av Bob Diachenko och en öppen databas som innehöll 250 miljoner poster från kundtjänst och supportloggar.
Enligt Microsoft exponerades databasen av misstag som en del av ett konfigurationsfel i säkerhetsreglerna som inträffade till följd av ändringar som gjordes den 5 december. Databasen togs sedan av sökmotorn BinaryEdge den 28 december, och Diachenko hittade dem den 29 december. Trots att det hände under semestersäsongen, korrigerade Microsoft snabbt problemet med data som var säkrade den 31 december.
Uppgifterna i posten avser samtal mellan kunder och Microsofts supportteam, och de flesta uppgifterna i loggen redigeras som en del av Microsofts standardprocedurer. Vissa data kan emellertid lämnas i ren text, inklusive information som e-postadresser för kunder och supportagenter, IP-adresser, platser, ärendenummer och konfidentiella interna poster. Som påpekats av forskarteamet som upptäckte detta problem kan denna information användas av aktörer som inte är avsedda för att efterlikna Microsofts supportagenter för att lura kunder. Microsoft noterade dock att det inte fanns några bevis på användningen av farliga uppgifter.
Microsoft sade också att det hade åtagit sig att förhindra att denna typ av situation skulle hända igen, så det tog ett antal steg. Detta inkluderar granskning av gällande nätverkssäkerhetsregler, lägg till ytterligare varningar när konfigurationsfel upptäcks och tillämpar redigeraren mer automatiskt. Företaget meddelade också kunder som drabbades av denna incident.
