Dans la foulée d’une révélation qui Microsoft Corp. fuite de données de support client interne sur Internet, fournisseur de téléphonie mobile Sprint a résolu une confusion dans laquelle les publications d’une communauté privée d’assistance à la clientèle étaient exposées sur le Web.
BreachTrace a récemment contacté Sprint pour faire savoir à l’entreprise qu’un forum interne d’assistance à la clientèle appelé « Social Care » était indexé par les moteurs de recherche, et que plusieurs mois de publications sur les plaintes des clients et d’autres problèmes étaient visibles sans authentification par toute personne disposant d’un navigateur Web. .
Une capture d’écran expurgée d’un fil de support client Sprint exposé sur le Web.
Un porte-parole de Sprint a répondu que le forum était en effet destiné à être une section privée de sa communauté de support, mais qu’une erreur a rendu la section publique.
« Ces conversations incluent un minimum d’informations sur les clients et sont utilisées par les représentants de première ligne pour faire remonter les problèmes aux responsables », a déclaré Lisa Bélotresponsable de la communication de Sprint.
Un examen du forum d’assistance exposé par cet auteur suggère que même si aucun des messages n’a exposé d’informations sur les clients telles que les données de carte de paiement, un certain nombre d’entre eux incluaient des informations sur le compte client, tels que les noms des clients, les identifiants d’appareil et, dans certains cas, des informations de localisation.
Peut-être plus important encore pour Sprint et ses clients, le forum comprenait également de nombreux liens et références à des outils et procédures internes. Ce type d’informations serait sans aucun doute intéressant pour les escrocs qui cherchent à mener des attaques d’ingénierie sociale contre les employés de Sprint afin de perpétrer d’autres types de fraude, y compris des échanges de carte SIM non autorisés ou pour glaner plus d’informations sur les comptes des clients ciblés.
Plus tôt cette semaine, vice.com a signalé que les pirates hameçonnent les travailleurs des grandes entreprises de télécommunications américaines pour accéder aux outils internes de l’entreprise. Cette nouvelle a suivi un rapport Vice connexe plus tôt ce mois-ci qui a découvert que les vauriens demandent maintenant aux employés des télécommunications d’exécuter un logiciel qui permet aux pirates d’accéder directement aux systèmes internes des sociétés de télécommunications américaines pour prendre en charge les numéros de téléphone portable des clients.
Le faux pas de Sprint survient quelques jours seulement après que Microsoft a reconnu qu’une base de données contenant « un sous-ensemble d’informations liées aux interactions avec le support client était accessible sur Internet entre les dates du 5 décembre et du 31 décembre 2019 ». Microsoft a déclaré qu’il alertait les personnes dont les informations étaient exposées, notamment des informations de localisation, des adresses e-mail et IP, des numéros de téléphone et des descriptions de problèmes techniques.
Un message envoyé par Microsoft aux clients concernés par leur récente fuite de données de support client.
Cette semaine marquait la célébration annuelle de Journée de la confidentialité des données, une occasion qui nous rappelle d’être plus judicieux quant aux types d’informations personnelles que nous partageons volontairement sur les réseaux sociaux et d’autres sites Web. Mais les trébuchements de Microsoft et de Sprint nous rappellent que des entreprises d’un milliard de dollars exposent très souvent ces informations en notre nom, même lorsque nous faisons tout ce qui est en notre pouvoir pour les protéger.