Microsoft, el miércoles, reveló que el 29 de diciembre, un investigador de seguridad notificó a la compañía de un error masivo en la base de datos que dejó 250 millones de registros de clientes vulnerables a ataques. Microsoft publicó una publicación de blog que dice que la vulnerabilidad fue el resultado de una 'mala configuración de una base de datos interna de soporte al cliente utilizada para el análisis de casos de soporte de Microsoft', aunque afirma que no ha encontrado ninguna evidencia de que la información estuviera comprometida.
La compañía implementó una solución para el error de la base de datos dentro de los dos días posteriores a la notificación y dice que cree que la información del cliente no se vio afectada. Aún así, Microsoft ha comenzado a notificar a los clientes cuya información está incluida en la base de datos para que sepan que sus datos podrían haberse visto comprometidos.
legarrette blount peso y altura
En la mayoría de los casos, Microsoft dice que la información de identificación personal se eliminó de la base de datos, que se utilizó para analizar casos de soporte. En algunos casos, sin embargo, es posible que se hayan incluido direcciones de correo electrónico u otra información personal.
Dado que la base de datos incluía información sobre casos de soporte, una infracción podría facilitar que un estafador se haga pasar por personal de soporte al cliente de Microsoft e intente obtener acceso a la cuenta, la computadora o los datos de un cliente. Este tipo de estafas no son infrecuentes, pero rara vez un atacante tiene información real del cliente para usar como punto de partida.
Microsoft dice que la configuración incorrecta ocurrió cuando las reglas de seguridad para la base de datos se actualizaron el 5 de diciembre, lo que provocó que los registros estuvieran expuestos. Si bien la compañía no cree que se haya violado la información del cliente, los datos estuvieron expuestos durante 24 días, lo que genera la posibilidad de que se haya podido acceder a ellos. La compañía señaló que este tipo de error es demasiado común y alienta a los clientes a evaluar la configuración de su propio sistema.
Lamentablemente, las configuraciones incorrectas son un error común en toda la industria. Tenemos soluciones para ayudar a prevenir este tipo de error, pero desafortunadamente, no estaban habilitadas para esta base de datos. Como hemos aprendido, es bueno revisar periódicamente sus propias configuraciones y asegurarse de que está aprovechando todas las protecciones disponibles.
kait parker y michael lowry
Por parte de Microsoft, la compañía ha dicho que está implementando cambios para prevenir este tipo de vulnerabilidad en el futuro. Esos cambios incluyen la evaluación y auditoría de las 'reglas de seguridad de red establecidas de la empresa para los recursos internos', así como la implementación de mecanismos diseñados para detectar errores de configuración de las reglas de seguridad y notificar a los equipos de seguridad cuando se descubren. Además, la empresa está realizando cambios en la forma en que redacta la información personal para este tipo de base de datos para evitar una exposición no intencionada.
Si es cliente de soporte técnico de Microsoft, probablemente se esté preguntando si debería hacer algo. Microsoft dice que está notificando a los clientes que pueden haber incluido su información en la base de datos.
Desafortunadamente, Microsoft tiene razón: hay demasiados ejemplos de información de clientes expuesta por empresas que no cuentan con la protección adecuada. De hecho, este incidente es el segunda vez que Microsoft ha informado que la información del cliente puede haberse visto comprometida el año pasado.
Y Microsoft ciertamente no es la única compañía que ha tenido problemas para mantener seguros los datos de los clientes. Facebook , Equifax y otros han sido blanco de ataques o exposiciones de alto perfil. Eso significa que depende de usted estar atento y asumir la responsabilidad de su propia información y la protección de su privacidad.
Eso significa que también vale la pena recordarnos a nosotros mismos que si recibe un correo electrónico o una llamada telefónica que simplemente no parece correcta, no proporcione ninguna información personal o de la empresa. Utilice siempre los canales oficiales para obtener soporte, y si no ha solicitado un correo electrónico o una respuesta a una llamada telefónica, asuma que cualquier comunicación debe ser tratada con sospecha.
