El soporte al cliente de Microsoft cuenta con una base de datos de uso interno en la que almacena analíticas anonimizadas de sus usuarios. Ayer, la compañía desveló que los datos de la misma estuvieron expuestos durante casi todo el pasado mes de diciembre.

La brecha fue notificada por Bob Diachenko, investigador de ciberseguridad en Security Discovery, la pasada Nochevieja, tras descubrir que la información, alojada en cinco servidores Elasticsearch (una tecnología que simplifica las operaciones de búsqueda) llevaba expuesta accidentalmente online desde el día 5 de diciembre.

Todos los datos fueron accesibles durante casi un mes para cualquier internauta, sin necesidad de contraseña u otro sistema de autenticación.

Información anonimizada... pero no del todo

Dichos servidores contenían aproximadamente 250 millones de entradas que almacenaban información sobre las incidencias de soporte. Según Microsoft, la mayoría de dichos registros no contenían información personal alguna. Un momento, ¿como que "la mayoría"? Sí, el problema de esta brecha de seguridad es que los datos de la misma no estaban 100% anonimizados.

Resulta que el procedimiento estándar de Microsoft establece el uso de herramientas automatizadas para eliminar dicha información personal... pero dichas herramientas sólo identifican datos en formato estándar.

Esto significa que, cuando los usuarios presentan solicitudes de atención al cliente con otro formato ("nombre apellido @ correo.algo", en lugar del habitual "[email protected]"), dichos datos no son detectados como confidenciales, y permanecen en la base de datos.

En Xataka

Cómo de anónimos …