A Microsoft, na quarta-feira, divulgou que em 29 de dezembro, um pesquisador de segurança notificou a empresa sobre um enorme erro de banco de dados que deixou 250 milhões de registros de clientes vulneráveis a ataques. A Microsoft publicou uma postagem no blog que afirma que a vulnerabilidade foi o resultado de uma 'configuração incorreta de um banco de dados interno de suporte ao cliente usado para análise de casos de suporte da Microsoft', embora afirme que não encontrou nenhuma evidência de que as informações foram comprometidas.
A empresa implementou uma correção para o erro do banco de dados dentro de dois dias após a notificação e diz acreditar que nenhuma informação do cliente foi afetada. Ainda assim, a Microsoft começou a notificar os clientes cujas informações estão incluídas no banco de dados para que eles fiquem cientes de que seus dados podem ter sido comprometidos.
Na maioria dos casos, a Microsoft diz que informações de identificação pessoal foram retiradas do banco de dados, que foi usado para analisar casos de suporte. Em alguns casos, no entanto, endereços de e-mail ou outras informações pessoais podem ter sido incluídos.
Como o banco de dados incluía informações sobre casos de suporte, uma violação poderia tornar mais fácil para um golpista se passar por pessoal de suporte ao cliente da Microsoft e tentar obter acesso à conta, computador ou dados de um cliente. Esses tipos de golpes não são incomuns, mas raramente um invasor tem informações reais do cliente para usar como ponto de partida.
A Microsoft diz que o erro de configuração ocorreu quando as regras de segurança do banco de dados foram atualizadas em 5 de dezembro, fazendo com que os registros fossem expostos. Embora a empresa não acredite que nenhuma informação do cliente tenha sido violada, os dados foram expostos por 24 dias, podendo ter sido acessados. A empresa destacou que esse tipo de erro é muito comum e incentiva os clientes a avaliarem a configuração de seu próprio sistema.
Infelizmente, as configurações incorretas são um erro comum em todo o setor. Temos soluções para ajudar a prevenir esse tipo de erro, mas infelizmente, elas não foram habilitadas para este banco de dados. Como aprendemos, é bom revisar periodicamente suas próprias configurações e garantir que está aproveitando todas as proteções disponíveis.
Por parte da Microsoft, a empresa afirmou que está implementando mudanças para evitar esse tipo de vulnerabilidade no futuro. Essas mudanças incluem a avaliação e auditoria das 'regras de segurança de rede estabelecidas para recursos internos' da empresa, bem como a implementação de mecanismos projetados para detectar configurações incorretas de regras de segurança e notificar as equipes de segurança quando forem descobertas. Além disso, a empresa está fazendo alterações na forma como edita informações pessoais para esse tipo de banco de dados, a fim de evitar exposição não intencional.
Se você é um cliente do Suporte da Microsoft, provavelmente está se perguntando se deve fazer algo. A Microsoft diz que está notificando os clientes que podem ter suas informações incluídas no banco de dados.
Infelizmente, a Microsoft está certa - existem muitos exemplos de informações de clientes expostas por empresas que não possuem proteção adequada em vigor. Na verdade, este incidente é o segunda vez que a Microsoft relatou que as informações do cliente podem ter sido comprometidas no ano passado.
E a Microsoft certamente não é a única empresa que teve problemas em manter os dados dos clientes protegidos. Facebook , Equifax e outros têm sido alvo de ataques ou exposições de alto perfil. Isso significa que é sua responsabilidade estar vigilante e assumir a responsabilidade por suas próprias informações e proteção de privacidade.
Isso significa que também vale a pena lembrar que se você receber um e-mail ou telefonema que não pareça correto, não forneça nenhuma informação pessoal ou corporativa. Sempre use os canais oficiais para obter suporte e, se você não solicitou uma resposta por e-mail ou telefonema, presuma que qualquer comunicação deve ser tratada com suspeita.
