Microsoftは22日、内部でカスタマーサポートのケースアナリティックスに使用するデータベースが昨年12月5日から31日まで誤設定により公開状態になっていたことを明らかにした(Microsoft Security Response Centerのブログ記事、 Comparitech Blogの記事、 Bob Diachenko氏のツイート、 Windows Centralの記事)。

Microsoftによれば、12月5日にデータベースのネットワークセキュリティグループを変更した際、誤って設定されたセキュリティ規則が含まれていたのが原因だという。発見者のBob Diachenko氏から通知を受け、12月31日には設定を修正して承認されていないアクセスを防ぐ措置をとったとのこと。Microsoftは影響を受けたレコードの件数を示していないが、Diachenko氏によればデータは2005年から2019年12月にわたる2億5千万件近いもので、Webブラウザーから認証なしでアクセスできる状態だったという。

Diachenko氏が問題を発見後すぐにMicrosoftへ知らせたところ、24時間以内に修正が行われたとのことで、大みそかにも関わらず迅速な対応を行ったMicrosoftのサポートチームをDiachenko氏は称賛している。なお、データのほとんどは匿名化されているが、Microsoftによれば「@」の前後にスペースの入った電子メールアドレスなど、標準的な形式で表記されていないデータは匿名化されていなかった可能性もあるとのことだ。