Microsoft je u ovom najnovijem sigurnosnom kršenju izložio 250 milijuna CSS zapisa | VPNoverview.com

Microsoft je danas otkrio narušavanje sigurnosti koji se dogodio prošlog mjeseca. Ovom kršenju izloženi su evidencija o korisničkoj službi i podršci (CSS) gotovo 250 kupaca putem nekoliko nesigurnih internih Elasticsearch poslužitelja..


Ono što je bilo izloženo

Tijekom ovog posljednjeg narušavanja sigurnosti, izloženi su Microsoftovi CSS zapisi u trajanju od 14 godina. Zapisi su uključivali telefonske razgovore između agenata usluga i kupaca iz 2005. godine.

Interna baza podataka koja sadrži ove zapise održana je na grupi od pet poslužitelja Elasticsearch. Klaster Elasticsearch distribuirana je pretraživačica s cijelim tekstom koja se koristi za analizu velikih količina podataka. Svih pet poslužitelja sadržavalo je iste podatke i čini se da su međusobno ogledala.

Ova se interna baza podataka koristila za analizu slučajeva podrške. Zapisi uglavnom nisu sadržavali podatke koji se mogu identificirati osobno (PII) jer je Microsoftova uobičajena praksa da uređuje PII iz analitičkih baza podataka. Međutim, neki podaci o PII-u ostali su u evidencijama gdje su ih kupci dostavili u nestandardnom obliku. Na primjer, adrese e-pošte odvojene razmacima umjesto da se pišu u standardnom formatu.

Iako je većina PII-a redigovana iz zapisa, mnogi su još uvijek sadržavali korisničku e-poštu i IP adrese koje su bile izložene. Zapisi su također sadržavali e-poštu agentova za podršku, interne bilješke i opise CSS slučajeva.

Microsoftova istraga kršenja sigurnosti

Microsoftova istraga o kršenju otkrila je da je problem uzrokovala promjena u sigurnosnoj grupi mrežnih podataka baze podataka. Promjena izvršena 5. prosinca sadržavala je pogrešno konfigurirana sigurnosna pravila zbog kojih su podaci unutar baze bili izloženi.

Microsoft je također izjavio da njihova istraga ukazuje na to da izloženi podaci nisu stavljeni na zlonamjernu upotrebu. Ipak, Microsoft namjerava kontaktirati sve kupce koji su imali PII podatke u redigovanoj bazi podataka.

Nadalje, istragom je utvrđeno da je to pitanje specifično za internu bazu podataka koja se koristi za analizu slučajeva podrške. To nije utjecalo na Microsoftove komercijalne usluge u oblaku.

Vremenska crta kršenja sigurnosti

Poslužitelji Elasticsearch ostali su internetski, bez lozinke i nezaštićeni, od 5. do 31. prosinca 2019. Kršenje je ostalo neotkriveno do 28. prosinca, kada je poslužitelje indeksirao pretraživač BinaryEdge. Dan kasnije, nezaštićene baze podataka otkrio je neovisni savjetnik za cyber-sigurnost Bob Diachenko koji je odmah obavijestio Microsoft.

Microsoft je brzo djelovao i baze podataka bile su ponovno osigurane do 31. prosinca. Diachenko je pohvalio Microsoftov odgovor u tviteru: “Kudos MS Sigurnosnom timu za reagiranje – pozdravljam tim za podršku MS-a za brzo reagiranje i unatoč novogodišnjoj noći.”

Druge takve sigurnosne kršenja

U jeku ovog posljednjeg kršenja, Microsoft promatra implementaciju novih strategija kako bi se osiguralo da se to više ne ponovi. To uključuje reviziju internih mrežnih pravila sigurnosti i primjenu dodatne automatizacije za uređivanje. Microsoft također namjerava uvesti dodatna upozorenja kako bi obavijestio servisne timove kada se otkriju pogrešne konfiguracije pravila sigurnosti.

Međutim, Microsoftovo kršenje prava je tek posljednja u nizu takvih narušavanja sigurnosti od strane tvrtki koje su otkrile osjetljive podatke o potrošačima putem pogrešnih konfiguracija poslužitelja Elasticsearch. Ostale tvrtke koje su imale slična kršenja uključuju Wyze i Honda. Jedno od najvećih kršenja, koje je u studenom prošle godine otkrilo više od milijardu zapisa, također je uključivalo poslužitelje Elasticsearch.

Upozorenje na prevare s krađu identiteta

Iako su Microsoftovi zapisi bili izloženi samo kratko vrijeme, nije poznato jesu li pali u ruke cyber-kriminalaca. Stoga sigurnosni stručnjaci upozoravaju kupce da budu obazrivi na prevare tvrtke Microsoft ili Windows koje se provode putem e-pošte ili telefona.

Podaci sadržani u izloženim dokumentima mogli bi biti posebno vrijedni za prevare s tehničkom podrškom. Takvi prevaranti lažno se predstavljaju predstavnicima call centara iz tvrtki poput Microsofta da instaliraju zlonamjerni softver na računala žrtava i kradu njihove financijske podatke.

Imajući stvarne brojeve slučajeva i podatke, prevaranti bi imali bolju priliku uvjeriti svoje žrtve da su Microsoftovi zaposlenici. Zato sigurnosni stručnjaci upozoravaju korisnike da budu dodatni budni zbog lažnih prijevara u narednim mjesecima.

Nadalje, Microsoftovi korisnici trebali bi imati na umu da Microsoft nikada proaktivno ne pristupa korisnicima kako bi riješio njihove tehničke probleme. Microsoft nikada ne bi tražio lozinke niti zatražio da korisnici instaliraju udaljene radne površine poput TeamViewera. Sve su to taktike koje obično koriste prevaranti za tehničku podršku.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me