Rond Nieuwjaar werd een publieke database ontdekt van Microsoft die transcripten met meer dan 250 miljoen conversaties tussen klanten en de klantendienst.

Voor de beveiligingsmedewerkers van Microsoft was het geen fijne overgang van 2019 naar 2020. Op 29 december ontdekte Comparitech namelijk een online database van de klantendienst van Microsoft, Microsoft Support. Daar kan je contact mee opnemen als je een probleem zou ondervinden met eender welk product van Microsoft, van Windows tot Edge to Xbox. Die zorgde ervoor dat Microsoft vol aan de slag moest de laatste dag van 2019. Op 31 december was het bestand opnieuw vergrendeld. Microsoft kwam gisteren zelf met dat nieuws naar buiten.

Microsoft Support

Die database bevatte een enorm archief van conversaties tussen medewerkers van Microsoft Support en klanten. In totaal zou het gaan om transcripten van ongeveer 250 miljoen gesprekken. De oudste gesprekken dateerden al van 2005. Volgens Microsoft zou de database gelekt zijn omwille van een foutgelopen configuratie van de interne servers van Microsoft Support.

Hoewel het bedrijf zelf zegt dat er geen persoonlijke informatie van gebruikers zichtbaar was, meent Comparitech toch mailadressen en IP-adressen te hebben kunnen lezen. Die informatie is volgens hen al voldoende om misbruik van te maken. Hackers zouden namelijk die gegevens kunnen gebruiken om klanten te contacteren zich voor te doen als medewerkers van Microsoft Support. Volgens Microsoft zou dat gelukkig niet gebeurd zijn. Microsoft excuseert zich voor de fout die gebeurd is en belooft de interne beveiligingsregels te verstrengen, alsook nieuwe tools te implementeren om persoonlijke gegevens beter te versleutelen.

Beveiligingsproblemen

Microsoft maakt de laatste tijd geen al te beste beurt als het aankomt op het garanderen van de veiligheid. Vorige week circuleerde er een bug in Windows 10 waarmee hackers het programma CryptoAPI konden gebruiken om ransomware te vermommen als een betrouwbare applicatie. Office 365 wordt dan weer al meer dan een half jaar gebruikt in een phishingcampagne. De hackers sturen mails uit die bijvoorbeeld OneDrive-documenten bevatten om aan de inloggegevens van de slachtoffers te komen.