Microsoft ujawnia 250 milionów rekordów CSS w tym najnowszym naruszeniu bezpieczeństwa VPNoverview.com

Microsoft ujawnił dziś naruszenie bezpieczeństwa, które miało miejsce w zeszłym miesiącu. Naruszenie ujawniło rekordy obsługi klienta i wsparcia (CSS) prawie 250 klientów za pośrednictwem kilku niezabezpieczonych wewnętrznych serwerów Elasticsearch.


Co zostało odkryte

Podczas ostatniego naruszenia zabezpieczeń ujawniono zapisy Microsoft CSS obejmujące 14 lat. Dokumentacja obejmowała rozmowy telefoniczne między agentami serwisowymi a klientami z 2005 roku.

Wewnętrzna baza danych zawierająca te rekordy była przechowywana na klastrze pięciu serwerów Elasticsearch. Klaster Elasticsearch to rozproszona wyszukiwarka pełnotekstowa używana do analizy dużych ilości danych. Wszystkie pięć serwerów zawierało te same informacje i wydaje się, że były dla siebie lustrzanymi odbiciami.

Ta wewnętrzna baza danych była używana do analizy przypadków wsparcia. Przeważnie rekordy nie zawierały danych osobowych (PII), ponieważ standardową praktyką firmy Microsoft jest redagowanie danych osobowych z baz danych analitycznych. Niektóre dane PII pozostały jednak w aktach, w których klienci dostarczyli je w niestandardowym formacie. Na przykład adresy e-mail oddzielone spacjami zamiast pisać w standardowym formacie.

Tak więc, chociaż większość danych osobowych została zredagowana z rejestrów, wiele nadal zawierało adresy e-mail klientów i adresy IP, które zostały ujawnione. Zapisy zawierały także wiadomości e-mail agentów wsparcia, notatki wewnętrzne i opisy spraw CSS.

Dochodzenie Microsoft w sprawie naruszenia bezpieczeństwa

Dochodzenie firmy Microsoft w sprawie naruszenia ujawniło, że przyczyną problemu była zmiana w grupie zabezpieczeń sieci bazy danych. Zmiana dokonana 5 grudnia zawierała źle skonfigurowane reguły bezpieczeństwa, które spowodowały ujawnienie danych w bazie danych.

Microsoft stwierdził również, że ich dochodzenie wykazało, że ujawnione dane nie zostały wykorzystane do złośliwego użytku. Niemniej jednak Microsoft zamierza skontaktować się ze wszystkimi klientami, którzy mieli dane osobowe w zredagowanej bazie danych.

Ponadto dochodzenie wykazało, że problem dotyczył wewnętrznej bazy danych wykorzystywanej do analizy przypadków wsparcia. Nie wpłynęło to na komercyjne usługi chmurowe Microsoft.

Oś czasu naruszenia bezpieczeństwa

Serwery Elasticsearch pozostawiono w trybie online, bez hasła i bez ochrony, od 5 do 31 grudnia 2019 r. Naruszenie pozostało niewykryte do 28 grudnia, kiedy serwery zostały zindeksowane przez wyszukiwarkę BinaryEdge. Dzień później niezabezpieczone bazy danych zostały odkryte przez niezależnego konsultanta ds. Bezpieczeństwa cybernetycznego, Boba Diachenko, który natychmiast poinformował Microsoft.

Microsoft działał szybko, a bazy danych zostały ponownie zabezpieczone do 31 grudnia. Diachenko pochwalił odpowiedź Microsoftu w tweecie: „Uznanie dla zespołu MS Security Response – pochwalam zespół wsparcia MS za szybką reakcję i szybką zmianę sytuacji pomimo sylwestra”.

Inne takie naruszenia bezpieczeństwa

Po tym ostatnim naruszeniu Microsoft stara się wdrożyć nowe strategie, aby zapewnić, że to się więcej nie powtórzy. Obejmują one audyt obecnie obowiązujących reguł bezpieczeństwa sieci wewnętrznej i wdrożenie dodatkowej automatyzacji redakcji. Microsoft zamierza również wprowadzić dodatkowe alerty, aby powiadomić zespoły serwisowe o wykryciu błędnych konfiguracji reguł bezpieczeństwa.

Naruszenie Microsoft jest jednak najnowszym z szeregu takich naruszeń bezpieczeństwa przez firmy, które ujawniły wrażliwe dane konsumentów w wyniku błędnych konfiguracji serwera Elasticsearch. Inne firmy, które miały podobne naruszenia, to Wyze i Honda. Jedna z największych naruszeń, która ujawniła ponad miliard rekordów w listopadzie ubiegłego roku, dotyczyła także serwerów Elasticsearch.

Ostrzeżenie przed phishingiem

Mimo że rekordy Microsoft zostały ujawnione tylko przez krótki czas, nie wiadomo, czy wpadły w ręce cyberprzestępców. Dlatego eksperci ds. Bezpieczeństwa ostrzegają klientów przed ostrzeżeniami przed oszustwami typu phishing Microsoft lub Windows przeprowadzanymi przez e-mail lub telefon.

Dane zawarte w ujawnionych danych mogą być szczególnie cenne dla oszustów pomocy technicznej. Oszuści podszywają się pod przedstawicieli centrum telefonicznego firm takich jak Microsoft, aby instalować złośliwe oprogramowanie na komputerach ofiar i kraść ich informacje finansowe.

Mając do dyspozycji prawdziwe liczby spraw i informacje, oszuści mieliby większe szanse przekonania swoich ofiar, że są pracownikami Microsoft. Dlatego eksperci ds. Bezpieczeństwa ostrzegają użytkowników, aby w nadchodzących miesiącach zachowali szczególną ostrożność w przypadku oszustw związanych z wyłudzaniem informacji.

Ponadto użytkownicy Microsoft powinni pamiętać, że Microsoft nigdy nie proaktywnie kontaktuje się z użytkownikami w celu rozwiązania ich problemów technicznych. Microsoft nigdy też nie prosi o hasło ani nie prosi użytkowników o zainstalowanie aplikacji pulpitu zdalnego, takich jak TeamViewer. Są to wszystkie taktyki powszechnie stosowane przez oszustów pomocy technicznej.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map