Nesta quarta-feira (22), a Microsoft anunciou uma brecha que afetou bancos de dados internos da companhia com informações de clientes. O banco, em si, alocava informações de suporte e atendimento. O caso, descoberto pela equipe de segurança da Comparitech, foi prontamente resolvido pela Microsoft. O banco ficou aberto entre 5 e 31 de dezembro de […]
Nesta quarta-feira (22), a Microsoft anunciou uma brecha que afetou bancos de dados internos da companhia com informações de clientes. O banco, em si, alocava informações de suporte e atendimento.
O caso, descoberto pela equipe de segurança da Comparitech, foi prontamente resolvido pela Microsoft. O banco ficou aberto entre 5 e 31 de dezembro de 2019, mas a empresa não confirmou o seu tamanho propriamente dito.
De acordo com a Comparitech, cerca de 250 milhões de registros foram expostos. Os dados, registrados entre 2005 e 2019, continham endereços de e-mail e IP; dados de localização; registros de conversas; notas “confidenciais” e mais.
A Microsoft também já havia excluído informações pessoais sensíveis da maioria dos registros, como informou em nota. Porém, os dados que permaneceram poderiam alimentar golpes de phishing e engenharia social. A empresa também se comprometeu a contatar todos os clientes cujos dados possam ter sido expostos.
Não foi divulgado um número exato de pessoas afetadas, nem mesmo se terceiros acessaram os dados. A Microsoft, por sua vez, alerta que “não encontrou nenhum uso malicioso”.
O pesquisador Paul Bischoff, da Comparitech, afirma que usuários da Microsoft “devem estar atentos a golpes por telefone e e-mail”. Com os dados em mãos, cibercriminosos podem simular um contato interno da Microsoft, por exemplo.
Para Paul Ducklin, principal pesquisador da Sophos, também é preciso estar atento aos “avisos” da Microsoft (ou de cibercriminosos). Ele reforça que “a maioria das pessoas na verdade não receberão alertas da Microsoft”, exatamente por causa da limpeza feita pela companhia.
Os e-mails de clientes registrados de forma correta (nome@exemplo.com) eram convertidos de forma automatizada para um formato inofensivo; já e-mails com pequenos erros, como um espaço (nome[espaço]@exemplo.com) podem ter “passado batido”.
A dica mestre, neste caso, como reforça Ducklin, é ficar muito atento nas próximas comunicações que receber. “Lembre-se: não clique nos links dos avisos de segurança, mesmo que você pense que são reais”, diz o pesquisador.
O principal problema é o phishing, que pode ser usado como prática para enganar os usuários. “Encontre o seu próprio caminho para as páginas de login que você usa e nunca se deixe enganar pelos dados de contato fornecidos em um e-mail”, completa.
Com informações de: Microsoft.
