Microsoft paljastab selles viimases turvarikkumises 250 miljonit CSS-i kirjet | VPNoverview.com

Microsoft avalikustas täna eelmisel kuul aset leidnud turvarikkumise. See rikkumine paljastas ligi 250 kliendi klienditeeninduse ja tugiteenuste (CSS) kirjeid mitmete turvamata sisemiste Elasticsearch-serverite kaudu.


Mis oli paljastatud

Selle viimase turvarikkumise ajal paljastusid Microsofti CSS-i kirjed, mis hõlmasid 14 aastat. Salvestused sisaldasid telefonivestlusi teenuseagentide ja klientide vahel, mis pärinevad 2005. aastast.

Neid kirjeid sisaldav sisemine andmebaas hoiti viiest Elasticsearchi serverist koosnevas klastris. Elasticsearchi klaster on hajutatud täistekstiotsingumootor, mida kasutatakse suurte andmemahtude analüüsimiseks. Kõik viis serverit sisaldasid sama teavet ja näivad olevat üksteise peeglid.

Seda sisemist andmebaasi kasutati juhtumianalüüsi toetamiseks. Enamasti ei sisaldanud kirjed isikut tuvastavat teavet (PII), kuna Microsofti tavapraktika on andmete analüüsi andmebaasidest PII kustutamine. Mõned isikuandmete identifitseerimise andmed jäid siiski registrisse, kus kliendid olid need esitanud mittestandardses vormingus. Näiteks standardvormingus kirjutamise asemel tühikutega eraldatud e-posti aadressid.

Ehkki enamik isikuandmeid oli dokumentidest kustutatud, sisaldasid paljud siiski klientide e-posti aadresse ja IP-aadresse, mis olid avaldatud. Kirjed sisaldasid ka tugiagentide e-kirju, sisemisi märkmeid ja CSS-i juhtumite kirjeldusi.

Microsofti uurimine turvarikkumise kohta

Microsofti rikkumise uurimisel selgus, et probleemi põhjustas andmebaasi võrguturbegrupi muutus. 5. detsembril tehtud muudatus sisaldas valesti konfigureeritud turvareegleid, mille tõttu paljastati andmebaasis olevad andmed.

Microsoft teatas ka, et nende uurimine näitas, et avaldatud andmeid ei olnud kuritarvitatud. Sellegipoolest kavatseb Microsoft võtta ühendust kõigi klientidega, kellel oli muudetud andmebaasis PII-andmeid.

Lisaks selgus uurimisel, et probleem oli spetsiifiline juhtumianalüüsi jaoks kasutatava sisemise andmebaasi osas. See ei mõjutanud Microsofti ärilisi pilveteenuseid.

Turvalisuse rikkumise ajaskaala

Elasticsearchi serverid jäeti võrgus, paroolivabad ja kaitsmata 5. – 31. Detsembrini 2019. Rikkumist ei tuvastatud kuni 28. detsembrini, mil BinaryEdge otsimootor indekseeris serverid. Päev hiljem avastas turvamata andmebaasid sõltumatu küberturbe konsultant Bob Diachenko, kes teatas sellest kohe Microsoftile.

Microsoft tegutses kiiresti ja andmebaasid olid 31. detsembriks uuesti turvatud. Diachenko kiitis Microsofti vastust piiksutavas ütluses: “Kudos MS Security Response teamile – kiidan MSi tugimeeskonda reageerimise ja kiire käiguvahetuse eest selles hoolimata uusaastaööst.”

Muud sellised turvarikkumised

Selle viimase rikkumise järel otsib Microsoft uute strateegiate rakendamist, tagamaks, et seda ei juhtu enam. Nende hulka kuulub praegu kehtivate sisemise võrgu turbereeglite auditeerimine ja täiendava redigeerimise automatiseerimise rakendamine. Samuti kavatseb Microsoft kehtestada täiendavaid hoiatusi, et teavitada teenindusmeeskondi turbereeglite väära konfiguratsiooni avastamisel.

Microsofti rikkumised on aga kõige värskemad selliste turvarikkumiste reas, mille on teinud ettevõtted, kes on Elasticsearchi serveri väära konfiguratsiooni kaudu avaldanud tundlikke tarbijaandmeid. Teiste ettevõtete seas, kus on olnud sarnaseid rikkumisi, on Wyze ja Honda. Üks suuremaid rikkumisi, mis paljastas eelmise aasta novembris üle miljardi kirje, oli seotud ka Elasticsearchi serveritega.

Andmepüügipettuste hoiatus

Ehkki Microsofti dokumendid jäeti nähtavaks vaid lühikeseks ajaks, pole teada, kas need on sattunud küberkurjategijate kätte. Seetõttu hoiatavad turbeeksperdid kliente, et nad peaksid olema ettevaatlikud Microsofti või Windowsi e-posti või telefoni abil toime pandud andmepüügipettuste suhtes.

Paljastatud kirjetes sisalduvad andmed võivad olla eriti väärtuslikud petturite tehnilise toe jaoks. Sellised petturid imiteerivad selliste ettevõtete kõnekeskuste esindajaid nagu Microsoft, et installida pahavara ohvrite arvutitesse ja varastada nende finantsteavet.

Kui juhtumite arv ja teave on käes, oleks petturitel parem võimalus veenda oma ohvreid, et nad on Microsofti töötajad. Sellepärast hoiatavad turbeeksperdid kasutajaid järgmiste kuude andmepüügipettuste suhtes eriti tähelepanelik olema.

Lisaks peaksid Microsofti kasutajad meeles pidama, et Microsoft ei pöördu kunagi ennetavalt kasutajateni nende tehniliste probleemide lahendamiseks. Samuti ei paluks Microsoft kunagi paroole ega taotleda, et kasutajad installeeriksid kaugtöölauarakendusi nagu TeamViewer. Need on kõik taktikad, mida tehnilise toe petturid tavaliselt kasutavad.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me