Microsoft building

Microsoft database met 250 miljoen bestanden tijdelijk onbeveiligd

Laatst bijgewerkt: 2 juli 2020
Leestijd: 2 minuten, 21 seconden

In december 2019 heeft een database met 250 miljoen gesprekken tussen Microsoft-medewerkers en klanten onbeveiligd online gestaan. Comparitech kwam er op 29 december achter dat de gegevens waarschijnlijk al sinds 5 december online beschikbaar waren. In de bestanden waren privégegevens van klanten te vinden.

Configuratiefout in beveiliging

Als je (vertrouwelijke) gesprekken voert met een groot Amerikaans hard- en softwarebedrijf als Microsoft, wil je natuurlijk niet dat dit open en bloot op internet komt te liggen. Dat is helaas wel wat er in december is gebeurd. Een database van Microsoft Support met daarin 250 miljoen bestanden met gesprekken tussen Microsoft-medewerkers en klanten belandde toen op straat. Al deze klantcontactmomenten waren opgeslagen op een server van de helpdesk. Deze was klaarblijkelijk niet goed ingesteld.

Volgens Comparitech was er sprake van een configuratiefout. Hierdoor werd de gehele database eind vorig jaar geïndexeerd door een zoekmachine. Door deze fout in de beveiliging van de bestanden had iedereen een maand lang toegang tot de gegevens. Het is onduidelijk of er in die maand onbevoegden de gegevens in hebben gezien. Nadat de onderzoekers het lek op 29 december meldden, heeft Microsoft het probleem direct op 30 en 31 december opgelost.

Persoonsgegevens op straat

De database bevatte een gigantische hoeveelheid verslagen van contacten tussen de Microsoft klantenservice en klanten. Het ging om alle gesprekken die tussen 2005 en 2019 hadden plaatsgevonden. Persoonsgebonden informatie als e-mailadres en IP-adres, maar ook notities en probleemomschrijvingen van Microsoft-medewerkers waren hierdoor zichtbaar voor derden. Volgens Microsoft waren de meeste privégegevens door de software onleesbaar waren gemaakt, zoals contactgegevens en betaalinformatie. Helaas was er op sommige pagina’s toch informatie te lezen. Precies om hoeveel klantinformatie het gaat is niet bekend. Microsoft zegt dat zij alle getroffen klanten op de hoogte zullen brengen.

Wees extra waakzaam voor phishing

Microsoft heeft het probleem weliswaar verholpen. Dat wil nog niet zeggen dat internetcriminelen en hackers met deze data aan de haal gaan. “Dergelijke slordigheden helpen cybercriminelen enorm”, zo zegt Arnout van Meulebroucke van de Belgische startup Phished tegen Computable.nl. “De vergaarde informatie maakt phishing-aanvallen namelijk een heel pak gemakkelijker. Cybercriminelen kunnen op heel geloofwaardige wijze en met frauduleuze bedoelingen op bestaand mailverkeer inpikken. Het spreekt voor zich dat dit phishing-aanvallen succesvoller kan maken. Wees extra attent voor mails van Microsoft-medewerkers in de komende maanden.”

Het is al een bekend probleem dat scammers zich voordoen als helpdeskmedewerkers van bedrijven als Microsoft. Met al deze informatie zouden criminelen zich nog geloofwaardiger voor kunnen doen als Microsoft-medewerkers. Doordat de criminelen over persoonlijke informatie van de klant beschikken zou een klant makkelijker kunnen geloven dat er een echte helpdeskmedewerker aan de andere kant van de lijn zit. Daarom is het verstandig om de komende tijd extra waakzaam te zijn voor dergelijke phishing-aanvallen. Wanneer je iets niet vertrouwt kun je het best de telefoon ophangen en eventueel naar de officiële helpdesk bellen om dit te melden.

Tech-journaliste
Tove is reeds sinds 2017 als cybersecurity-redacteur betrokken bij VPNgids. Sinds 2019 is zij tevens coördinator voor het cybersecurity-nieuws dat op de website verschijnt.

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen