250 millions de dossiers contenant des données sensibles ont été exposés par erreur par Microsoft, et plus précisément par son service client. C’est en effet ce que révèlent les équipes de Comparitech, un site spécialisé dans la comparaison des solutions de sécurité et de confidentialité. Les éléments ainsi mis en péril contenaient des métadonnées de conversations entre les agents de la firme de Redmond et les utilisateurs sur une période de 14 ans s’étalant de 2005 à décembre 2019.
L’équipe spécialisée de Comparitech note ainsi que cette fuite de données a exposé les informations qui suivent :
- des adresses mail des clients ;
- des adresses IP ;
- des descriptions des réclamations et des cas traités par le service client et support ;
- des emails des agents de Microsoft ;
- des numéros des cas, résolutions et remarques ;
- des notes internes marquées comme « confidentielles ».
Problème réglé
Une frise chronologique de cette affaire a été publiée. Ainsi, on apprend que ces 250 millions de dossiers s’étaient retrouvés indexés sur le moteur de recherche BinaryEdge le 28 décembre 2019. Comparitech repère le souci le lendemain et prévient Microsoft qui règle le problème les 30 et 31 décembre tout en ouvrant une enquête afin de déterminer ce qu’il s’est passé. L’affaire est ensuite publiquement révélée le 21 janvier 2020.
Pour aller plus loin
Jeff Bezos hacké sur WhatsApp
Microsoft aura donc très rapidement réagi pour sécuriser cette base de données sensibles. Reste une question : comment cela a-t-il pu arriver ?
Les explications de Microsoft
D’une part, le géant américain explique que son enquête ne révèle aucune utilisation malveillante de ces données pendant qu’elles étaient exposées. Ensuite, la firme explique que le souci est dû à une mauvaise configuration des règles de sécurité intervenue au moment de la mise à jour d’une fonctionnalité de sa plateforme Azure, le 5 décembre 2019.
Les erreurs de configuration sont malheureusement courantes dans le secteur. Nous avons des solutions pour éviter ce genre d’erreurs, mais malheureusement, elles n’ont pas été activées pour cette base de données. Comme nous l’avons appris, il est bon de revoir périodiquement vos propres configurations et de vous assurer que vous profitez de toutes les protections disponibles.
Rappelons que l’OS Windows 10 a été lui aussi exposé à une grosse faille de sécurité, nécessitant carrément l’intervention de la NSA.
Pour aller plus loin
Pour plaire au FBI, Apple aurait abandonné le chiffrement de vos sauvegardes iCloud
Envie de retrouver les meilleurs articles de Frandroid sur Google News ? Vous pouvez suivre Frandroid sur Google News en un clic.
Cherche déjà la date de mise en place du RGPD par rapport aux dates des données exposées et de plus ça ne s'applique que dans l'U.E et non pas dans le reste du monde !
Jai pas souvenir que yait une durée max de rétention pour la rgpd. Cest plus pour prevenir le client via un bandeau, lui laisser le choix daccepter ou non certaines choses. Et de lui laisser un droit a l'oubli s'il en fait la demande seulement. Ca resterait intéressant de voir ce qu'en pense la cnil apres oui.
Le RGPD est un règlement Européen et ne concerne donc que l'UE. De plus, comme souvent dans ce genre d'affaire, c'est les citoyens américains qui sont les premiers victimes. Après a savoir si des citoyens européens sont victimes de la fuite, on ne le saura certainement jamais.
Plusieurs remarques, avec le rgpd ce n'est pas possible que ce genre de choses arrivent, comment ont ils pu passer outre ? Enfin il le semble que le rgpd encadre la durée de détention des données, là les données sont très anciennes... Comment justifient ils ça ? Avez vous interrogé la CNIL pour savoir ce qu'ils comptent faire ?
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix