Een database met 250 miljoen bestanden over gesprekken tussen klanten en Microsoft-medewerkers stond bijna een maand openbaar op het internet, blijkt uit onderzoek van Comparitech. Deze data was rond de jaarwisseling beschikbaar voor iedereen met toegang tot een internetbrowser, er was geen wachtwoord of andere vorm van authenticatie nodig om bij de gegevens te komen.

In de bestanden stond data over gesprekken die hebben plaatsgevonden tussen klanten en de klantenservice van Microsoft over een periode van veertien jaar, van 2005 tot december 2019. In de database waren onder meer meer e-mailadressen van klanten en Microsoft-medewerkers, IP-adressen, locaties, beschrijvingen van de gesprekken en interne opmerkingen - die gemarkeerd waren als 'vertrouwelijk' - in te zien.

De onderzoekers hebben na de ontdekking Microsoft meteen gewaarschuwd, Microsoft heeft de database binnen 24 uur na ontdekking beveiligd.

'Speelt helpdeskfraude in de hand'

Volgens Comparitech zouden scammers de enorme berg aan informatie kunnen gebruiken om zich overtuigend voor te doen als een medewerker van de klantenservice van Microsoft. Zo zouden ze gebruikers kunnen oplichten, dat wordt helpdeskfraude genoemd.

Bij helpdeskfraude bellen fraudeurs bijvoorbeeld vanuit het buitenland om zich voor te doen als medewerkers van grote techbedrijven, zoals Microsoft. Vervolgens proberen ze toegang te krijgen tot de computer van het slachtoffer om geld buit te maken.

De onderzoekers waarschuwen gebruikers daarom om de komende tijd scherp te zijn op berichten of telefoontjes die afkomstig lijken te zijn van de Microsoft-klantenservice.

Microsoft biedt in een statement aan klanten excuses aan en zegt geen indicatie te hebben dat er misbruik is gemaakt van de database. Ook schrijft Microsoft dat een groot deel van de gegevens geanonimiseerd was. Klanten van wie er wel persoonsinformatie in de database stond, krijgen van Microsoft een melding.