Als u de komende tijd gecontacteerd wordt door iemand die zich voordoet als een vertegenwoordiger van Microsoft, let u best op. Er is namelijk een enorm datalek geweest.

Met de jaarwisseling heeft Microsoft maar liefst 250 miljoen gesprekken tussen klanten en de eigen klantendienst blootgesteld aan iedereen die dat wilde zien. Het gaat om veertien jaar aan data, gesprekken die plaatsgevonden hebben tussen 2005 en december 2019. Dat meldt het Britse onderzoeksbureau Comparitech.

Vrij toegankelijk

Concreet gaat het om contacten tussen klanten en de Microsoft-helpdesk. Die staan op een server. Aangezien die niet juist was ingesteld, konden gewone gebruikers zonder paswoord, tweestapsverificatie of enige andere vorm van authentificatie in de database.

Door het foutje waren niet alleen de data van de klanten zichtbaar, maar ook de persoonlijke notities van de helpdeskmedewerker. De database werd eind vorig jaar opgepikt door een zoekmachine, en dat trok de aandacht van beveiligingsexperts van Comparitech.

Die verwittigden Microsoft, dat het veiligheidslek dichtte. Maar dat kon dus niet beletten dat de gegevens een maand lang onbeschermd online stonden.

Contactgegevens

Het goede nieuws is dat betaal- en contactgegevens niet te zien zijn in de database. Toch is er een grote kans dat cybercriminelen de data gebruiken om aan phishing te doen.

Bij phishing krijgt u bijvoorbeeld een mailtje van iemand die zich voorstelt als een medewerker van Microsoft. Het mailtje ziet eruit alsof het effectief om een betrouwbare bron gaat. Toch gaat het vaak om een poging tot fraude. Wees dus extra waakzaam als u om uw identificatie-, bank-, of persoonsgegevens gevraagd wordt.

‘Geanonimiseerd’

Microsoft heeft op de bevindingen van Comparitech gereageerd op de bedrijfsblog. ‘Ons eigen interne onderzoek toont aan dat de overgrote meerderheid van de persoonlijke informatie in overeenstemming is met ons privacybeleid.’ Met andere woorden: de persoonlijke informatie is grotendeels geanonimiseerd.

‘In sommige scenario’s kan het dat de data niet geredigeerd is (…) zoals wanneer de informatie in een niet-standaardformaat staat, zoals een e-mailadres waar de punten vervangen zijn door spaties. (Bijvoorbeeld: XYZ @contoso com versus XYZ@contoso.com.)’

Microsoft zal die klanten van wie de e-mailadressen toch beschikbaar zijn geraakt door het lek, persoonlijk contacteren.