Non si è trattato di una vulnerabilità software ma di un errore di configurazione di un database: il problema è emerso il 29 dicembre e la multinazionale di Redmond lo ha risolto rapidamente, nel giro di due giorni ma, per questo lasso di tempo, Microsoft ha esposto i dati di 250 milioni di clienti.
Una mole impressionante di dati personali che per la durata del problema erano liberamente consultabili online da chiunque semplicemente tramite un browser internet. Si tratta di nomi utente, contatti, casella di posta, indirizzo IP e altri dati ancora del database di assistenza clienti e supporto di Microsoft.
Anche se il grave incidente di sicurezza è accaduto negli ultimissimi giorni dell’anno, la notizia è stata resa pubblica solamente nelle scorse ore. Microsoft dichiara che i dati di 250 milioni di utenti erano per lo più celati e non in chiaro, anche se la società di sicurezza Comparitech che ha scoperto e segnalato il problema, rileva che alcune informazioni sensibili come email e indirizzo IP erano invece memorizzate in testo semplice. Microsoft rileva inoltre che i dati esposti in rete non sembra siano stati impiegati per attacchi e scopi malevoli.
La società ha informato le persone i cui dati sono stati coinvolti nel problema «Vogliamo scusarci sinceramente e rassicurare i nostri clienti sul fatto che lo stiamo prendendo sul serio e stiamo lavorando diligentemente per apprendere e agire per prevenire qualsiasi ricorrenza futura». Tra le soluzioni in corso la revisione delle regole interne di sicurezza, l’impiego di ulteriori strumenti per oscurare i dati sensibili degli utenti in automatico e anche nuove allerte e notifiche quando viene rilevata una errata configurazione di sicurezza.
Tutti gli articoli di macitynet che parlano di PC Windows e Microsoft sono disponibili ai rispettivi link. Per tutti gli articoli che parlano di sicurezza si parte da questa pagina.