A ESET, empresa líder na detecção de ameaças, alerta sobre a exposição de dados dos clientes do suporte técnico da Microsoft, resultado de um erro na configuração de um servidor que continha os registros de 14 anos de conversas entre a equipe de suporte técnico e os clientes.
Por meio de uma declaração em seu site, a Microsoft confirmou que, devido a um erro de configuração em um banco de dados interno de suporte ao cliente, foram expostos aproximadamente 250 milhões de registros das conversas entre os clientes e a equipe no período de 2005 a dezembro de 2019.
De acordo com a investigação realizada, ainda não foi detectado nenhum uso malicioso desses dados e na maioria dos casos as informações expostas não permitem a identificação do usuário. De qualquer forma, a Microsoft trouxe a tona o incidente em um ato de transparência, segundo a declaração da empresa.
A empresa de tecnologia também disse que o banco de dados foi escrito usando ferramentas automatizadas, que eliminam informações pessoais que permitem a identificação de uma pessoa, exceto em alguns casos em que as informações não estavam no formato padrão. Nos casos em que era possível identificar um usuário, a empresa enviou comunicados.
A descoberta foi feita pelo pesquisador Bob Diachenko, que relatou o erro à empresa após sua identificação, e a falha já foi resolvida pela Microsoft. Segundo o pesquisador, muitos dos registros presentes no banco de dados continham as seguintes informações do cliente:
• Endereço de email do Microsoft
• IP
• Localização
• Descrições de casos e serviço de suporte ao cliente
• Endereço de email do Microsoft Customer Support Agent
• Número do processo, resolução e comentários
• Notas internas marcadas como “confidenciais”
• IP
• Localização
• Descrições de casos e serviço de suporte ao cliente
• Endereço de email do Microsoft Customer Support Agent
• Número do processo, resolução e comentários
• Notas internas marcadas como “confidenciais”
Caso essas informações cheguem a criminosos, elas podem ser utilizadas para, por exemplo, criar fraudes de suporte ao cliente, onde o usuário acredita estar sendo contatado pelo suporte da Microsoft, e entrega seus dados para atores mal-intencionados ou paga para resolver um problema inexistente.
“Embora possa parecer um golpe antigo, nossos usuários continuam nos relatando casos desse tipo, o que confirma que criminosos que agem dessa maneira continuam ativos e buscando novas vítimas”, diz Camilo Gutierrez, chefe do laboratório de Pesquisa da ESET América Latina.
A ESET possui o portal #quenãoaconteca, com informações úteis para evitar que situações cotidianas afetem a privacidade online.
Para saber mais sobre segurança da informação, entre no portal de notícias da ESET: http://www.welivesecurity.com/br/
