Грешка в сигурността на Microsoft изложи на свободен достъп данни за 250 млн. клиенти
Microsoft призна, че между 5 и 31 декември 2019 г. неправилно конфигуриране на правилата за сигурност на вътрешна база данни за поддръжката на клиенти я е оставило изложена на свободен достъп фактически от всеки. Т.е. можела е да бъде достъпена без никаква парола.Според изследователя Боб Диаченко, който открива, че базата данни е достъпна за всеки, умеещ да работи с уеб браузър, съобщава, че тя съдържа повече от 250 милиона записа за обслужване и поддръжка на клиенти на Microsoft по целия свят.
Данните, които обхващат период от 14 години - от 2005 г. до декември 2019 г. - са били изложени на показ на пет сървъра Elasticsearch, всеки от които е съдържал едно и също копие на 250-те милиона записа от базата данни.
Според публикация в сайта на Microsoft "огромната част от записите" е била автоматично редактирана, за да се премахнат някои лични данни. Диаченко обаче е категоричен, че в много записи се съдържа чувствителна информация като клиентски имейли, IP адреси, локации, описания на претенции и случаи, имейли на служителите по поддръжката на Microsoft, номера на дела, резолюции и забележки, вътрешни бележки, маркирани като "поверителни", и т.н. Подобна информация може да бъде полезна за всеки измамник да се представи като истински служител по поддръжката на Microsoft.
"Неправилните конфигурации за съжаление са често срещана грешка в цялата индустрия. Имаме решения, които да помогнат да се предотврати този вид грешка, но за съжаление те не бяха активирани за тази база данни. Както научихме, добре е периодично да преглеждате собствените си конфигурации и да се уверите, че се възползвате от всички налични защити. Искаме искрено да се извиним и да уверим клиентите си, че приемаме сериозно този случай и работим усърдно за предприемане на действия, които да предотвратят подобни ситуации в бъдеще. Също така искаме да благодарим на изследователя Боб Диаченко, че работи в тясно сътрудничество с нас, така че успяхме бързо да поправим тази погрешна конфигурация, да проучим ситуацията и да започнем да уведомяваме клиентите, както е по закон", се казва в изявление на Microsoft.
От компанията твърдят, че разследването на нарушението на сигурността "не е установило злоупотреба с данните", но въпреки засегнатите клиенти са уведомени.