Nyhet

14 år av Microsofts kundedata lå åpent på nett

Hele 250 millioner henvendelser var søkbare uten passord.

Vær på vakt om du blir oppringt av «Microsoft Support» - spesielt om du ikke har tatt kontakt først, og hvis de snakker med indisk aksent. En support-lekkasje hos Microsoft kan gjøre svindlerne mer treffsikre.

Hvis du har hatt med Microsofts support-avdeling å gjøre de siste 14 årene, kan det hende at henvendelsen din har ligget åpent ute på nett. Sikkerhetsselskapet Comparitech oppdaget hele fem servere som lå helt usikret på nett med kommunikasjon fra Microsofts kunder.

Data lå ute en knapp måned

Microsoft har selv bekreftet at problemet var reelt, og opplyser i en melding at dataene lå ute i en knapp måned, fra 5. til 31. desember i fjor. Informasjonen ble oppdaget da en søkemotor indekserte innholdet på serverne den 28. desember. Både Comparitech og Microsoft presiserer at sensitive kundedata for det meste var tatt ut av materialet.

Ifølge Microsoft er det ingen tegn på at innholdet har blitt brukt til noe ondsinnet.

E-postadresser skal ikke ha blitt med om de var skrevet på vanlig måte, men andre måter å skrive adressene på kan ha sørget for at de ble med i lekkasjen. En typisk variant er adresser som er skrevet ut med bare bokstaver, for eksempel «e-post alfakrøll adresse dot no» og liknende varianter.

Enkelte sensitive data ble med

Til tross for at mye var ryddet vekk fra disse henvendelsene påpeker Comparitech at det var kundedata med i mange av oppføringene. I tillegg til enkelte e-postadresser dukket det også opp IP-adresser, altså «nummerskiltet» som identifiserer PC-en eller nettverket ditt på internett og det fysiske stedet henvdendelsene kom fra.

Selve beskrivelsene av problemene var også med, i tillegg til informasjon om Microsofts ende av kontakten, som e-postadressene til de som jobbet med support og saksnummer. Sikkerhetsselskapet påpeker også at interne notater merket som «konfidensiell» var inkludert i lekkasjen.

Kan hjelpe «Microsoft-svindlere»

Selv om dette er data fra Microsofts vanlige hjelpemannskap mener Comparitech at lekkasjen først og fremst kan være til hjelp for de såkalte Microsoft-svindlerne. Du vet, de som ringer deg for å fikse Windows, ofte med sterk indisk aksent og uavhengig av om du er Mac-bruker eller ei.

Der å tilby Microsoft-hjelp til Macen din i hvert fall vil avsløre bløffen, finnes det mange måter de kan treffe bedre med det faktiske bruksmønsteret og utstyret du har. Og tilgang på disse supportdataene kan gjøre slike aktører i stand til å både målrette og spisse angrepene sine bedre. Hvis de allerede vet at du har Windows fra før, og at du har hatt problemer med å koble til USB-pinner tidligere, låter det mye mer reelt enn en plutselig telefon om PC-en du kanskje ikke har.

For ordens skyld; Microsoft ringer deg aldri «uprovosert», og hverken de eller andre aktører vil be deg om å oppgi kortnummer eller annen viktig informasjon på telefonen. Hvis noen ringer eller sender deg e-post og ber deg om slike detaljer - logg i stedet inn på kontoen din via nettsiden du vanligvis bruker, og kommuniser gjennom løsningene som ligger der hvis det er behov for det.

Se når Windows-«support» ringte redaksjonen vår:

Les også
Her prøver Windows-svindlerne å lure kredittkortet fra oss
annonse