Door een onjuist geconfigureerde en onbeveiligde database waren klantsupportgegevens van miljoenen gebruikers bijna een maand lang voor iedereen toegankelijk. De database bevatte 250 miljoen records en is door een zoekmachine geïndexeerd.

In de vele logs stonden gesprekken van klanten van over de hele wereld en medewerkers van Microsoft. De openbaar aangetroffen data beslaat een periode van zo'n 14 jaar: de oudste gegevens dateren uit 2005, de meest recente gegevens stammen uit december 2019. Dezelfde maand - op 29 december - werd Microsoft door beveiligingsonderzoeker Bob Diachenko van het lek op de hoogte gesteld. De volgende dag is het lek gedicht.

Database voor iedereen toegankelijk

Beschik je over internet en een webbrowser? Dan kon je onbekommerd grasduinen in deze database: er was namelijk geen wachtwoord of een alternatieve vorm van authenticatie vereist. Hoewel Microsoft en onderzoeker DIachenko stellen dat de meest persoonlijke gegevens zoals contractnummers, mailadressen en betaalinformatie niet zichtbaar waren, blijkt uit logs dat dat niet helemaal klopt.

Veel records bevatten namelijk toch persoonlijke gegevens. Onder de aangetroffen gegevens bevinden zich onder meer mailadressen, locaties, IP-adressen, oplossingen en notities die als vertrouwelijk werden bestempeld.

Geen aanwijzingen voor misbruik

Een woordvoerder van Microsoft, Ann Johnson, verwoordde het als volgt: 'Misconfiguraties zijn helaas een veelgemaakte fout in de industrie. We hebben oplossingen om dit soort fouten te voorkomen, maar helaas stonden die voor deze database niet ingeschakeld'. Wel geeft ze aan dat er geen signalen zijn die erop wijzen dat er gegevens zijn misbruikt.

Microsoft zal alle getroffen klanten informeren.

Bron: Microsoft.com / Security.nl