Spoločnosť Microsoft predstavuje pri tomto najnovšom porušení zabezpečenia 250 miliónov záznamov CSS VPNoverview.com

Spoločnosť Microsoft dnes odhalila porušenie zabezpečenia, ku ktorému došlo minulý mesiac. Toto porušenie odhalilo záznamy zákazníckych služieb a podpory (CSS) takmer 250 zákazníkov prostredníctvom niekoľkých nezabezpečených interných serverov Elasticsearch.


Čo bolo vystavené

Počas tohto posledného porušenia zabezpečenia boli vystavené záznamy Microsoft CSS trvajúce 14 rokov. Záznamy zahŕňali telefonické rozhovory medzi servisnými agentmi a zákazníkmi z roku 2005.

Interná databáza obsahujúca tieto záznamy sa uchovávala na klastri piatich serverov Elasticsearch. Klaster Elasticsearch je distribuovaný fulltextový vyhľadávací nástroj, ktorý sa používa na analýzu veľkých objemov údajov. Všetkých päť serverov obsahovalo rovnaké informácie a zdá sa, že boli navzájom zrkadlami.

Táto interná databáza sa používa na analýzu prípadov podpory. Záznamy väčšinou neobsahovali informácie umožňujúce identifikáciu osôb (PII), keďže štandardnou praxou spoločnosti Microsoft je presmerovanie údajov PII z analytických databáz. Niektoré údaje PII však zostali v záznamoch, kde ich zákazníci poskytli v neštandardnom formáte. Napríklad e-mailové adresy oddelené medzerami namiesto písania v štandardnom formáte.

Aj keď väčšina záznamov PII bola zo záznamov redigovaná, mnoho z nich stále obsahovalo e-mailové adresy zákazníkov a adresy IP, ktoré boli vystavené. Záznamy obsahovali aj e-maily podporných agentov, interné poznámky a opisy prípadov CSS.

Vyšetrovanie spoločnosti Microsoft o porušení bezpečnosti

Vyšetrovanie spoločnosti Microsoft týkajúce sa porušenia ukázalo, že problém bol spôsobený zmenou skupiny zabezpečenia siete v databáze. Zmena vykonaná 5. decembra obsahovala nesprávne nakonfigurované bezpečnostné pravidlá, ktoré spôsobili vystavenie údajov v databáze.

Microsoft tiež uviedol, že z ich vyšetrovania vyplynulo, že exponované údaje neboli zneužité. Spoločnosť Microsoft však napriek tomu plánuje kontaktovať všetkých zákazníkov, ktorí mali v redigovanej databáze údaje PII.

Prešetrovaním sa okrem toho zistilo, že problém bol špecifický pre internú databázu používanú na analýzu prípadov podpory. Nemalo to vplyv na komerčné cloudové služby spoločnosti Microsoft.

Časová os porušenia zabezpečenia

Servery Elasticsearch boli od 5. do 31. decembra 2019 ponechané online, bez hesiel a nechránené. Porušenie zostalo nezistené až do 28. decembra, keď boli servery indexované vyhľadávacím nástrojom BinaryEdge. O deň neskôr nezabezpečené databázy objavil nezávislý konzultant počítačovej bezpečnosti Bob Diachenko, ktorý okamžite informoval spoločnosť Microsoft..

Microsoft konal rýchlo a databázy boli znovu zabezpečené do 31. decembra. Diachenko ocenil odpoveď Microsoftu v tweetu a povedal: „Kudos tímu MS Security Response – tlieskam tímu podpory ČŠ za pohotovosť a rýchly obrat v tejto záležitosti napriek silvestrovskému dňu.“

Iné takéto porušenia bezpečnosti

V dôsledku tohto posledného porušenia sa spoločnosť Microsoft zameriava na zavádzanie nových stratégií, aby sa tak už nestalo. Patrí medzi ne audit súčasných platných pravidiel vnútornej bezpečnosti siete a implementácia ďalšej automatizácie redigovania. Spoločnosť Microsoft tiež plánuje zaviesť ďalšie upozornenia na upozornenie servisných tímov pri zistení nesprávnej konfigurácie bezpečnostných pravidiel.

Porušenie spoločnosti Microsoft je však len posledným v rade takýchto porušení bezpečnosti zo strany spoločností, ktoré vystavili citlivé spotrebiteľské údaje prostredníctvom nesprávnej konfigurácie servera Elasticsearch. Medzi ďalšie spoločnosti, ktoré mali podobné porušenia, patria Wyze a Honda. Jedným z najväčších porušení, ktorý odhalil viac ako miliardu záznamov v novembri minulého roka, boli aj servery Elasticsearch.

Varovanie pred podvodmi typu phishing

Hoci záznamy spoločnosti Microsoft zostali exponované iba na krátku dobu, nie je známe, či sa dostali do rúk kybernetických zločincov. Preto experti na bezpečnosť varujú zákazníkov, aby sa vyhýbali podvodom typu phishing spoločnosti Microsoft alebo Windows, ktoré sa vykonávajú prostredníctvom e-mailu alebo telefónu.

Údaje obsiahnuté v exponovaných záznamoch by mohli byť obzvlášť užitočné pre podvodníkov technickej podpory. Takí podvodníci vydávajú zástupcov call centra od spoločností, ako je Microsoft, za účelom inštalácie škodlivého softvéru do počítačov obetí a odcudzenia ich finančných informácií..

Ak budú mať skutočné čísla prípadov a informácie k dispozícii, podvodníci by mali väčšiu šancu presvedčiť svoje obete, že sú zamestnancami spoločnosti Microsoft. Z tohto dôvodu odborníci v oblasti bezpečnosti varujú používateľov, aby boli v nadchádzajúcich mesiacoch zvlášť ostražití pri podvodoch typu phishing.

Používatelia spoločnosti Microsoft by si mali okrem toho pamätať na to, že spoločnosť Microsoft sa nikdy aktívne nedotýka používateľov, aby vyriešili svoje technické problémy. Spoločnosť Microsoft by nikdy nežiadala heslá ani nežiadala, aby používatelia inštalovali aplikácie vzdialenej pracovnej plochy, ako je TeamViewer. Toto sú všetky taktiky, ktoré bežne používajú podvodníci technickej podpory.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me