En janvier dernier, un gigantesque fichier contenant plus de 772 millions d’adresses email, 21 millions de mots de passe et tout autant de coordonnées personnelles apparaissait mystérieusement sur internet. Les données du grand public continuent d’être mises à mal depuis, à l’instar du récent piratage de certaines boites mails gérées par Microsoft.
Selon les informations récupérées par TechCrunch, ce sont certaines comptes mails de MSN et Hotmail qui auraient été affectés par un piratage… via le support client ! Les hackers seraient parvenus à subtiliser les identifiants de connexion de l’un des membres du support de ces services pour accéder à une base d’informations sur les utilisateurs.
Un piratage limité ?
Toutefois, le risque serait limité, à l’en croire les premières déclarations de Microsoft: cette fuite ne concerne qu’un “nombre limité d’utilisateurs”, et elle se cantonnerait aux adresses mails, aux objets des mails ainsi qu’aux adresses de leurs contacts. Les pirates n’auraient en revanche pas pu accéder au contenu des mails, ni aux pièces jointes.
Dans un communiqué envoyé aux victimes du piratage, Microsoft donne quelques précisions supplémentaires sur l’incident : les hackers ont pu accéder aux données entre le 1er janvier et le 28 mars 2019. Aussitôt que le piratage a été détecté, la firme aurait immédiatement désactivé les identifiants de l’employé du service client affecté.
Si les identifiants des clients MSN et Hotmail n’ont pas été corrompus, la société recommande toutefois à ces derniers de les modifier par précaution, et d’être particulièrement attentif aux risques de phishing. Si Microsoft n’a pas communiqué sur le nombre de victimes, ni sur leur location géographique, l’email d’excuses envoyé aux clients fait référence à l’Union Européenne.
Voici le mail envoyé par Microsoft aux victimes :
Dear Customer
Microsoft is committed to providing our customers with transparency. As part of maintaining this trust and commitment to you, we are informing you of a recent event that affected your Microsoft-managed email account.
We have identified that a Microsoft support agent’s credentials were compromised, enabling individuals outside Microsoft to access information within your Microsoft email account. This unauthorized access could have allowed unauthorized parties to access and/or view information related to your email account (such as your e-mail address, folder names, the subject lines of e-mails, and the names of other e-mail addresses you communicate with), but not the content of any e-mails or attachments, between January 1st 2019 and March 28th 2019.
Upon awareness of this issue, Microsoft immediately disabled the compromised credentials, prohibiting their use for any further unauthorized access. Our data indicates that account-related information (but not the content of any e-mails) could have been viewed, but Microsoft has no indication why that information was viewed or how it may have been used. As a result, you may receive phishing emails or other spam mails. You should be careful when receiving any e-mails from any misleading domain name, any e-mail that requests personal information or payment, or any unsolicited request from an untrusted source (you can read more about phishing attacks at https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/phishing).
It is important to note that your email login credentials were not directly impacted by this incident. However, out of caution, you should reset your password for your account.
If you require further assistance, or have any additional questions or concerns, please feel free to reach out to our Incident Response Team at ipg-ir@microsoft.com. If you are a citizen of European Union, you may also contact Microsoft’s Data Protection Officer at:
EU Data Protection Officer
Microsoft Ireland Operations Ltd
One Microsoft Place,
South County Business Park,
Leopardstown, Dublin 18, Ireland
dpoffice@microsoft.com
Microsoft regrets any inconvenience caused by this issue. Please be assured that Microsoft takes data protection very seriously and has engaged its internal security and privacy teams in the investigation and resolution of the issue, as well as additional hardening of systems and processes to prevent such recurrence.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
