Falha em suporte da Microsoft expôs dados de 250 milhões de pessoas

Por Rafael Rodrigues da Silva | 22 de Janeiro de 2020 às 20h50
Divulgação
Tudo sobre

Microsoft

Saiba tudo sobre Microsoft

Ver mais

Uma notícia nada boa para aqueles que já precisaram entrar em contato com o suporte da Microsoft nas últimas duas décadas: algumas informações pessoais suas podem ter ficado expostas a hackers.

De acordo com o que revelou o pesquisador de segurança Bob Diachenko e o site Comparitech, cerca de 250 milhões de arquivos do serviço de suporte ao cliente da Microsoft ficaram desprotegidos durante, praticamente, todo o mês de dezembro de 2019. Isso permitia que qualquer pessoa com um mínimo de conhecimento em programação conseguisse acessar informações equivalentes a 14 anos de logs de atendimento do serviço de suporte ao cliente companhia. Entre esses arquivos, era possível encontrar informações como e-mail e endereço IP do cliente, além das conversas ocorridas entre o cliente e os funcionários da criadora do Windows.

Em um post em seu blog oficial, a Microsoft confirma a existência dessa falha e revela que esses logs de suporte ficaram desprotegidos entre os dias 5 e 31 de dezembro. A causa foi uma atualização feita no banco de dados da empresa, que continha um erro de configuração na parte responsável pela segurança das informações nesse banco. A empresa afirma ainda que, normalmente, ela possui mecanismos para encontrar rapidamente essas falhas de configuração e evitar que os dados fiquem expostos, mas ,infelizmente, neste banco específico, essa ferramenta estava desabilitada.

Apesar de assumir o erro, a Microsoft avisa que esse vazamento de informações foi algo exclusivo do banco de dados de suporte ao cliente. Com isso, nenhuma informação sobre as empresas que contratam os serviços de nuvem dela - a Azzure - ficou desprotegida. E, apesar das informações de suporte terem ficado disponíveis, nenhum dado identificador direto da pessoa (como nome completo ou documento de identidade) ficou exposto, já que é uma política da empresa apagar qualquer identificador pessoal dos arquivos que são armazenados em seus bancos de dados.

Ainda que a investigação conduzida pela Microsoft tenha identificado que os dados que ficaram expostos ainda não foram utilizados por qualquer pessoa com más intenções, o site Comparitech lembra que esse tipo de falha, normalmente, é usada por pessoas que aplicam o “golpe do suporte técnico”. Nele, o criminoso se passa por um técnico de suporte da empresa, com o intuito de conseguir dados pessoais dos clientes, e então usá-los em outros tipos de golpes. E como qualquer pessoa que acessou esse banco de dados teve acesso não apenas ao e-mail de usuário, mas também ao número do protocolo de atendimento - além de todo o histórico de conversa entre o cliente e o funcionário da Microsoft - é possível utilizar essas informações para criar golpes extremamente convincentes.

Fonte: Comparitech

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.