Microsoft secara tidak sengaja mengekspos 250 juta catatan layanan pelanggan online

Microsoft meninggalkan layanan pelanggan dan catatan dukungan terbuka online, perusahaan mengungkapkan dalam posting blog hari ini. Masalah ini pertama kali ditemukan oleh tim riset keamanan yang dipimpin oleh Bob Diachenko, dan database terbuka yang berisi 250 juta catatan layanan pelanggan dan catatan dukungan.

Menurut Microsoft, database secara tidak sengaja diekspos sebagai bagian dari kesalahan konfigurasi dalam aturan keamanan yang terjadi sebagai akibat dari perubahan yang dilakukan pada tanggal 5 Desember. Mesin pencari BinaryEdge mengambil database pada 28 Desember. dan Diachenko menemukannya pada 29 Desember. Meskipun itu terjadi selama musim liburan, Microsoft dengan cepat memperbaiki masalah ini, dengan data diamankan pada 31 Desember.

Data dalam catatan mengacu pada percakapan antara pelanggan dan tim dukungan Microsoft, dan sebagian besar data dalam catatan diedit sebagai bagian dari prosedur Microsoft standar. Namun, beberapa data dapat disimpan dalam teks biasa, termasuk informasi seperti alamat email untuk pelanggan dan agen pendukung, alamat IP, lokasi, nomor kasus, dan catatan internal rahasia. Sebagaimana ditunjukkan oleh tim peneliti yang menemukan masalah ini, informasi ini dapat digunakan oleh aktor jahat untuk berperan sebagai agen dukungan Microsoft untuk menipu pelanggan. Namun, Microsoft mencatat bahwa pihaknya tidak menemukan bukti penggunaan data berbahaya.

Microsoft juga mengatakan berkomitmen untuk mencegah situasi seperti ini terjadi lagi, sehingga diperlukan serangkaian langkah. Ini termasuk mengaudit aturan keamanan jaringan saat ini, menambahkan peringatan tambahan ketika kesalahan konfigurasi terdeteksi, dan menerapkan editor secara lebih otomatis. Perusahaan juga memberi tahu pelanggan yang terkena dampak insiden ini.