Microsoft potvrzuje únik dat a odhalil 250 milionů záznamů zákaznické podpory kvůli „nesprávně nakonfigurované“ databázi

Zprávy
Microsoft / Microsoft potvrzuje únik dat a odhalil 250 milionů záznamů zákaznické podpory kvůli „nesprávně nakonfigurované“ databázi 2 minuty čtení Balíček Windows Experience Experience Microsoft Store

Microsoft



Microsoft omylem odhalil 250 milionů záznamů o zákaznických službách a podpoře online. K neúmyslnému úniku dat došlo v důsledku „nesprávné konfigurace“ databáze, kterou společnost použila k udržování informací o zákaznické podpoře. Microsoft oficiálně uznal únik dat a přijal opatření k jeho zastavení. Reakce společnosti na odhalení důležitých a nejpravděpodobnějších citlivých informací milionů zákazníků společnosti Microsoft však vyvolává vážné otázky týkající se integrity a ochrany dat.

Poté, co se objevila zpráva, která tvrdila, že Microsoft odhalil data přibližně 250 milionů jejích zákazníků, společnost potvrdila totéž. Společnost uvedla, že databáze nebyla správně nastavena, aby se chránila před tak obrovským vystavením dat. Uniklá data pokrývají více než 14 let a obsahují několik úryvků informací o zákaznících a jejich interakcích se společností Microsoft. Společnost od té doby zabezpečila databázi a potvrdila, že nikdy neobsahovala osobní identifikační údaje.



Microsoft náhodně odhalil 250 milionů zákaznických služeb a záznamů o podpoře online a obviňuje špatnou konfiguraci:

Uniklá data zahrnovala rozhovory mezi agenty podpory společnosti Microsoft a zákazníky, které byly zaznamenány od roku 2005 do prosince 2019. Microsoft v zásadě ponechal data nezajištěná. Jinými slovy společnost opustila data otevřená a přístupná komukoli . Takové „nezajištěné“ databáze jsou překvapivě běžné . Jednoduše řečeno, databáze není snadné najít ani prohledat. Protože však nejsou chráněni hesly a šifrováním, má k nim přístup kdokoli.



Odkrytá a nezajištěná data byla objevena 29. prosince a poté, co byli na to stejně upozorněni, podnikla společnost Microsoft během jednoho dne nápravná opatření, naznačil Bob Diachenko z bezpečnostního výzkumného týmu Comparitech. 'Okamžitě jsem to nahlásil společnosti Microsoft a do 24 hodin byly všechny servery zabezpečeny.' Tleskám týmu podpory MS za jeho odezvu a rychlé řešení navzdory silvestrovskému večeru. “



Uniklá data obsahovala následující informace:

  • E-mailové adresy zákazníků
  • IP adresy
  • Místa
  • Popis nároků a případů CSS
  • E-maily agentů podpory společnosti Microsoft
  • Čísla případů, řešení a poznámky
  • Interní poznámky označené jako „důvěrné“

Vystavené zákaznické databáze jsou z dlouhodobého hlediska vysoce nebezpečné, uveďte odborníky:

Je docela pravděpodobné, že Microsoft vydá nějakou formu upozornění na zákazníky, kteří byli součástí vystavené databáze. Data ve špatných rukou jsou však velmi cenná. Důvodem je, že data lze snadno použít ke spuštění podvodů technické podpory. Vzhledem k tomu, že údaje o zákaznické podpoře obsahují citlivé informace, které by měl vědět pouze Microsoft, mohou být oběti snadno přesvědčeny a podvedeny. Společnost Microsoft potvrzuje, že podnikne následující kroky, aby zabránila budoucím výskytům tohoto problému:

  • Audit zavedených pravidel zabezpečení sítě pro interní prostředky.
  • Rozšíření rozsahu mechanismů, které detekují nesprávné konfigurace pravidel zabezpečení.
  • Přidání dalších výstrah servisním týmům při zjištění chybných konfigurací pravidel zabezpečení.
  • Implementace další automatizace redakce.

O takto exponovaných databázích bylo mnoho zpráv. Nejběžnější chybou mezi technologickými společnostmi je ponechání databáze nezajištěné nebo bez řádné ochrany heslem. Takové databáze nejsou snadno přístupné. Mnoho autorů škodlivých kódů a hackerů běžně spouštět programy které jsou určeny k čichat nechráněné nebo vystavené databáze . Tam maji bylo poměrně málo případů hackeři buď drželi výkupné za data, nebo pouze sešrotován cenné informace který se poté prodává na Dark Web.

Značky Microsoft