Empresa, no entanto, agiu rapidamente para bloquear os servidores em nuvem expostos, depois de ser informada sobre o vazamento
A Microsoft expôs brevemente os dados de registros de call center de quase 250 milhões de clientes por meio de vários servidores em nuvem não seguros no final do ano passado, segundo pesquisadores de segurança.
O problema foi detectado um dia após os bancos de dados de cinco servidores Elasticsearch serem indexados pelo mecanismo de busca BinaryEdge, em 28 de dezembro. Cada um continha uma coleção aparentemente idêntica de registros Microsoft Customer Service and Support (CSS), de um período de 14 anos. Os registros incluíam conversas telefônicas entre atendentes e clientes que remontam a 2005, todas sem senha e completamente desprotegidas, de acordo com a Comparitech, empresa de segurança cibernética.
A maioria das informações de identificação pessoal (PII) foi obtida dos registros e muitas continham endereços de e-mail e IP de clientes, e-mails de atendentes de suporte e notas internas e descrições de casos de CSS.
Isso representou não apenas um risco de ataque por phishing, mas uma coleção valiosa de dados para golpistas que se passam por atendentes de call center da Microsoft e de outras empresas para instalar malware em máquinas e roubar dados financeiros.
Segundo os pesquisadores de segurança, a Microsoft agiu rapidamente para bloquear os servidores expostos. Depois de ser informada, em 29 de dezembro, a empresa garantiu todos os dados até 31 de dezembro. A Microsoft é apenas a mais recente de uma longa lista de empresas que expuseram dados confidenciais de consumidores por meio de configurações incorretas da nuvem.