Microsoft ha pubblicato per errore le informazioni di 250 milioni di conversazioni con gli utenti
Negli ultimi mesi quasi tutte le più grandi multinazionali del mondo della tecnologia hanno dimostrato di avere ancora parecchi problemi nel rispettare la privacy dei loro utenti e clienti. L'ultima dimostrazione arriva da Microsoft, che sul finire dell'anno scorso ha accidentalmente pubblicato online i dati sensibili provenienti da più di 250 milioni di conversazioni tra i suoi clienti e i propri addetti al servizio di assistenza – mettendo sostanzialmente a disposizione di chiunque le informazioni di queste persone, come indirizzi email, nomi, cognomi e molto altro.
A scoprirlo e a riferirlo pubblicamente è stata la società di analisi Comparitech, che ha fornito alcuni dettagli sulla natura della banca dati scoperta quasi per caso. Le informazioni trapelate online sono relative a conversazioni avvenute tra i clienti Microsoft e i membri del supporto tecnico della società, le più recenti delle quali risalgono addirittura a 15 anni fa. Si tratta in sostanza di trascrizioni che, dal 2005 al 2019 descrivono problemi con i prodotti Microsoft e relative soluzioni offerte dal team di dipendenti, ma anche delle informazioni tecniche e anagrafiche allegate alle segnalazioni, che possono essere utilizzate per identificare utenti e clienti e raggiungerli telefonicamente o via email. La maggior parte di queste informazioni in realtà era stata preventivamente rimossa, ma una percentuale che non è stata resa nota era perfettamente leggibile.
Quel che stupisce è la facilità con la quale i ricercatori sono hanno potuto mettere le mani su queste informazioni. Uno dei team di ricercatori del gruppo si è infatti imbattuto in 5 server Microsoft contenenti la stessa identica banca dati: nessuna delle fonti era protetta in alcun modo – il che vuol dire che chiunque, puntando il proprio browser all'indirizzo corretto, avrebbe potuto visionare il contenuto ora rimosso. Come confermato dalla stessa Microsoft, il disguido è il risultato di un semplice errore di configurazione delle banche dati in questione, che ha reso visibili e consultabili informazioni altrimenti blindate per il mondo esterno.
Il gruppo ha risolto il problema in meno di un giorno dopo averne ricevuto notifica, ma nel frattempo eventuali estranei potrebbero aver effettuato una copia delle informazioni visionate per utilizzarla per i propri scopi. Informazioni simili possono infatti essere una base di partenza per architettare truffe telefoniche di media complessità, con vittime che ricevono chiamate da individui che spacciandosi per Microsoft tentano di vendere servizi o pacchetti di assistenza avanzata inesistenti. In Italia operazioni del genere non sono particolarmente diffuse, ma negli Stati Uniti e negli altri Paesi anglofoni si tratta di raggiri diffusi da anni.