Microsoft potrjuje uhajanje podatkov z 250 milijoni evidenc o podpori strankam, ki so nastale zaradi 'napačno konfigurirane' baze podatkov

Microsoft

Microsoft je po spletu nenamerno razkril 250 milijonov evidenc o storitvah in podpori za stranke. Do nenamernega puščanja podatkov je prišlo zaradi 'napačne konfiguracije' baze podatkov, ki jo je podjetje uporabljalo za vzdrževanje informacij o podpori strankam. Microsoft je uradno priznal uhajanje podatkov in sprejel ukrepe za njegovo zaustavitev. Vendar pa odziv podjetja na izpostavljenost pomembnih in najverjetneje občutljivih informacij milijonov Microsoftovih kupcev sproža nekaj resnih vprašanj o celovitosti in zaščiti podatkov.

Potem ko se je pojavilo poročilo, v katerem je trdilo, da je Microsoft razkril podatke o približno 250 milijonih svojih strank, je podjetje isto potrdilo. Družba je navedla, da baza podatkov ni bila pravilno nastavljena, da bi se zaščitila pred tako obsežno izpostavljenostjo podatkom. Razkriti podatki obsegajo več kot 14 let in vsebujejo več delčkov informacij o kupcih in njihovi interakciji z Microsoftom. Družba je od takrat zavarovala bazo podatkov in potrdila, da nikoli ni vsebovala osebnih podatkov.

Microsoft po naključju razkrije 250 milijonov evidenc o storitvah in podpori za stranke v spletu in obtožuje slabo konfiguracijo:

Med razkriti podatki so bili pogovori med Microsoftovimi agenti za podporo in strankami, ki so bili zabeleženi od leta 2005 do decembra 2019. Microsoft je podatke v bistvu pustil nezavarovane. Z drugimi besedami, podjetje je zapustilo podatki odprti in dostopni vsem . Takšne 'nezavarovane' zbirke podatkov so presenetljivo pogosti . Preprosto povedano, baz podatkov ni enostavno najti ali iskati. Ker pa niso zaščiteni z gesli in šifriranjem, lahko do njih dostopa vsak.

Nezaščitena baza podatkov izpostavlja 250 milijonov # Microsoft Podatki o podpori strankam v spletu

Preberi več: https://t.co/JOACrkg7Sc #infosec #Spletna varnost

- Mohit Kumar (@unix_root) 22. januarja 2020

Razkrite in nezavarovane podatke so odkrili 29. decembra, po opozorilu nanje pa je Microsoft v enem dnevu izvedel popravne ukrepe, je povedal Bob Diachenko iz varnostne raziskovalne skupine Comparitech. »To sem takoj sporočil Microsoftu in v 24 urah so bili vsi strežniki zavarovani. Čestitam ekipi za podporo državam članicam za odzivnost in hiter preobrat pri tem kljub silvestrovemu. '

Razkriti podatki so vsebovali naslednje informacije:

• E-poštni naslovi strank
• Naslovi IP
• Lokacije
• Opisi zahtevkov in primerov CSS
• E-poštna sporočila Microsoftovega agenta za podporo
• Številke primerov, resolucije in pripombe
• Notranje opombe, označene kot »zaupne«

Izpostavljene baze podatkov strank so dolgoročno zelo nevarne, navedite strokovnjake:

Povsem verjetno je, da bo Microsoft izdal nekakšno opozorilo strankam, ki so bile del izpostavljene baze podatkov. Vendar so podatki v napačnih rokah zelo dragoceni. To je zato, ker je podatke enostavno uporabiti za zagon prevar s tehnično podporo. Ker podatki o podpori strankam vključujejo občutljive podatke, ki bi jih moral poznati le Microsoft, je žrtve enostavno prepričati in jih prevarati. Microsoft je potrdil, da bo sprejel naslednje ukrepe za preprečitev pojava te težave v prihodnosti:

• Revizija uveljavljenih pravil omrežne varnosti za notranje vire.
• Širitev obsega mehanizmov, ki zaznajo napačne konfiguracije varnostnih pravil.
• Dodajanje dodatnih opozoril servisnim skupinam, ko zaznajo napačne konfiguracije varnostnih pravil.
• Izvajanje dodatne avtomatizacije redakcije.

NOVO: Microsoft razkriva kršitev varnosti zbirke podatkov za podporo strankam

* Napačno konfigurirana pravila Azure razkrivajo 5 strežnikov Elasticsearch
* Strežniki hranijo analitične podatke o podpori strankam
* Microsoft je dejal, da so bili podatki anonimizirani
* Časovna razporeditev puščanja: 5. - 31. decembra https://t.co/WJfdiyAwn7 pic.twitter.com/HVG7WqKKxf

- Catalin Cimpanu (@campuscodi) 22. januarja 2020

Obstajajo številna poročila o tako izpostavljenih zbirkah podatkov. Najpogostejša napaka med tehnološkimi podjetji je puščanje baze podatkov nezavarovano ali brez ustrezne zaščite z geslom. Takšne zbirke podatkov niso lahko dostopne. Vendar pa mnogi zlonamerni pisci kode in hekerji rutinsko izvajati programe ki so namenjeni povohajte nezaščitene ali izpostavljene zbirke podatkov . Tam so je bilo kar nekaj primerov, v katerih hekerji imajo bodisi podatke odkupnino bodisi zgolj odstranili dragocene informacije ki se nato proda na temnem spletu.