微软承认，由于“内部客户支持数据库配置不当”，近2.5亿条客户服务记录被曝光，这些记录被用于跟踪支持案例，包括微软支持代理与来自世界各地的客户之间的对话日志。鲍勃迪亚琴科领导的Comparitech安全研究小组。

首先，报告称，所有微软客户的数据都可以通过网络浏览器访问，无需密码或其他身份验证。

微软网络安全解决方案事业部副总裁安约翰逊(Ann Johnson)在周三晚间的一份声明中表示：“虽然在调查中没有发现恶意使用的情况，尽管大多数客户没有透露个人身份信息，但我们希望让所有客户都知道这一事件，并向他们保证，我们将对此高度重视，并追究自己的责任。

根据微软的调查，2019年12月5日对数据库网络安全组所做的更改包含错误配置的安全规则，这些规则允许数据暴露。

据该公司称，其工程师于2019年12月31日修复了该配置，以限制数据库并防止未经授权的访问。

微软在其博客中表示：“这个问题具体到用于支持案例分析的内部数据库，并不意味着我们的商业云服务受到了影响。”

这些记录包括2005年至2019年12月的14年对话记录。

“我们真诚道歉，并向客户保证，我们会认真对待，努力学习，并采取行动防止今后再次发生。”微软。

该公司感谢迪亚琴科帮助其解决了错误配置。

Diacenco说：“我立即向微软报告了这一情况，并在24小时内保护了所有服务器。”“在除夕夜，我对MS支持团队的响应速度和快速周转速度表示赞赏。”

Diacenco解释说，大多数个人身份信息“电子邮件、合同号和支付信息”都已被删除。

但是，许多记录包含纯文本数据，包括但不限于客户电子邮件地址、IP地址、位置、微软支持代理电子邮件、案例号、解决方案以及标记为“机密”的备注和内部注释。

研究人员认为，掌握详细的日志和案件信息后，诈骗者更有可能成功实现目标。

如果欺诈者在保护数据之前获得了数据，他们可以通过冒充真实的微软员工和引用真实的案例号来利用这些数据。

“微软客户和Windows用户应该在寻找像电话和电子邮件这样的骗局。Comparitech Group说，请记住，微软从来没有主动联系用户解决他们的技术问题，用户必须首先寻求微软的帮助。

这不是微软的第一次数据安全事件。

2013年，黑客闯入该公司的秘密数据库，追踪其软件中的错误。

2019年1月至2019年3月，黑客入侵微软支持代理的账户。据该公司称，黑客很可能访问了一些Outlook用户帐户的内容。