Microsoft expuso 250 millones de registros privados en la web

Comenzamos el año bien, con una fuga de información importante por parte de uno de los grandes de Silicon Valley. Nada menos que 250 millones de registros del área de servicio técnico de Microsoft han estado circulando sin control en internet durante 48 horas.

Los registros contenían fragmentos de conversaciones entre los agentes de soporte de Microsoft y los clientes de todo el mundo, comprendiendo un período desde 2005 hasta Diciembre de 2019.

Expuestos 250 millones de registros de soporte Microsoft

Todos los registros fueron accesibles durante unos dos días por cualquier persona con un PC y un navegador, ya que no estaban protegidos por contraseña.

Fue gracias a Bob Diachenko que se dieron cuenta de la pifia, como admiten en un comunicado:

Estamos en deuda con Bob Diachenko por haber trabajado conjuntamente con nosotros para que hayamos podido solventar este problema de configuración rápidamente, analizar los datos y notificar a los clientes de forma apropiada.

Eric Doerr, General Manager, Microsoft

La linea temporal de los acontecimientos es la que sigue:

• 28 Diciembre 2019: las bases de datos públicas son indexadas (recogidas) por el motor de búsqueda BinaryEdge
• 29 Diciembre 2019: Diachenko descubre las bases de datos y notifica rápidamente a Microsoft
• 30-31 Diciembre 2019: Microsoft protege los datos y servidores. Conjuntamente comienza una investigación de alcance y remediación
• Microsoft desvela detalles adicionales sobre esta fuga de información.

Según Diachenko la respuesta de Microsoft fue bastante rápida pese a las festividades. En las siguientes 24 horas tras la notificación habían cortado los accesos.

Recuerda que hay servicios como Firefox Monitor, HaveIBeenPwned o Google Passwork Checkup que te ayudan a saber si tu cuenta ha sido hackeada o tus datos filtrados, como tu email.

¿Qué datos fueron expuestos?

La mayor parte de la información personal identificable (en inglés PII o Personal Identifiable Information) estaba parcialmente oculta como medida de seguridad.

Sin embargo seguían quedando datos en texto plano, entre los que figuran:

• Emails de clientes
• Direcciones IP
• Ubicaciones
• Descripciones de casos con soporte
• Emails de los agentes de soporte
• Números de caso, soluciones o comentarios
• Notas internas de carácter «confidencial»

¿Qué riesgos tiene para el cliente?

INcluso teniendo en cuenta que la mayor parte de los PII afectados por esta fuga de información estaban parcialmente oscurecidos, no deberíamos tomarlo como un tema sin importancia.

Los esquemas de phishing se nutren en gran medida de este tipo de filtraciones para construir relaciones de mayor confianza con sus víctimas. Como sabemos la diferencia está en los detalles…

Con logs detallados e información de casos sobre nosotros, los scammers podrían tener más opciones de engañarnos con estafas típicas de falso soporte técnico, haciéndose pasar por empleados de Microsoft o partners, refiriendo por ejemplo a números de casos reales.

Si has recibido una notificación de Microsoft deberías seguir sus indicaciones a la mayor brevedad. Y aunque no fuera así, al menos deberías estar pendiente ante cualquier signo de compromiso en tu cuenta en los próximos meses.