250 milhões de registos de dados de apoio a clientes da Microsoft expostos na Internet

22 jan 2020 16:46

A vulnerabilidade foi detetada no final de 2019 por uma empresa de investigação, que alertou a Microsoft. A gigante tecnológica corrigiu a falha em 24 horas.

O aviso foi feito pela empresa de investigação Comparitech a 29 de dezembro de 2019 à gigante tecnológica, que em 24 horas corrigiu a falha, não se sabendo se foi ou não explorada. Ao todo a falha terá permitido expor online 250 milhões de registos de atendimento e apoio a clientes da Microsoft, realizados durante 14 anos, sem qualquer pedido de password ou de autenticação.

A notícia surge numa publicação desta quarta-feira de um especialista da Comparitech, onde dá a conhecer em detalhe o que foi exposto. Apesar de a maior parte das informações de identificação pessoal terem sido escritas sem dados "sensíveis", como números de contrato e informações de pagamento, muitos registos com texto sem formatação incluíam endereços de email de clientes e de IP, localização e notas identificadas como "confidenciais".

Bob Diachenko, que lidera a equipa de investigação da Comparitech, explica que "reportou de imediato a situação à Microsoft e todos os servidores passaram a estar seguros 24 horas depois". Já Eric Doerr, do Microsoft Security Response Center, agradece a Bob Diachenko o aviso imediato, que permitiu à gigante tecnológica "resolver rapidamente" o problema, bem como analisar os dados e notificar os clientes.

De acordo com a empresa de investigação, estes dados, com registos de 2005 a dezembro de 2019, podem ser valiosos para pessoas que se fazem passar por membros do apoio técnico. Com estas informações verdadeiras, é mais fácil a um hacker convencer um cliente da Microsoft de que se trata de um colaborador da empresa, recolhendo mais dados sobre o utilizador.

Já na semana passada a Agência Nacional de Segurança dos Estados Unidos (NSA na sigla em inglês) detetou uma vulnerabilidade no Windows 10, corrigida pela Microsoft depois de ter sido notificada pela própria agência. Desta vez, a falha de segurança, que não foi explorada, poderia permitir aos hackers acederem a dados confidenciais dos computadores dos utilizadores.