Microsoft представляет 250 миллионов записей CSS в этом последнем нарушении безопасности | VPNoverview.com

Сегодня Microsoft сообщила об уязвимости, произошедшей в прошлом месяце. Это нарушение выявило записи о поддержке клиентов (CSS) почти 250 клиентов через несколько незащищенных внутренних серверов Elasticsearch..


Что было выставлено

Во время этого последнего нарушения безопасности были обнаружены записи Microsoft CSS, охватывающие 14 лет. Записи включали телефонные разговоры между сервисными агентами и клиентами, начиная с 2005 года..

Внутренняя база данных, содержащая эти записи, находилась на кластере из пяти серверов Elasticsearch. Кластер Elasticsearch – это распределенная полнотекстовая поисковая система, используемая для анализа больших объемов данных. Все пять серверов содержали одинаковую информацию и, по-видимому, были зеркалами друг друга.

Эта внутренняя база данных использовалась для поддержки анализа случаев. В основном записи не содержали личную информацию (PII), так как стандартная практика Microsoft – редактировать PII из аналитических баз данных. Однако некоторые данные PII остались в записях, где клиенты предоставили их в нестандартном формате. Например, адреса электронной почты, разделенные пробелами, вместо записи в стандартном формате.

Таким образом, хотя большая часть PII была удалена из записей, многие из них все еще содержали адреса электронной почты и IP-адреса клиентов, которые были раскрыты. Записи также содержали электронные письма агента поддержки, внутренние заметки и описания случаев CSS.

Расследование Microsoft о нарушении безопасности

Расследование, проведенное Microsoft, показало, что проблема была вызвана изменением группы сетевой безопасности базы данных. Внесенное 5 декабря изменение содержало неверно настроенные правила безопасности, из-за которых данные в базе данных стали доступны.

Microsoft также заявила, что их расследование показало, что данные не были использованы для злонамеренного использования. Тем не менее, Microsoft намерена связаться со всеми клиентами, у которых были данные PII в отредактированной базе данных..

Кроме того, в ходе расследования было установлено, что проблема связана с внутренней базой данных, используемой для поддержки анализа случаев. Это не повлияло на коммерческие облачные сервисы Microsoft.

Хронология нарушения безопасности

С 5 по 31 декабря 2019 года серверы Elasticsearch оставались в сети, без пароля и без защиты. Нарушение оставалось незамеченным до 28 декабря, когда серверы были проиндексированы поисковой системой BinaryEdge. Днем позже незащищенные базы данных были обнаружены независимым консультантом по кибербезопасности Бобом Дьяченко, который немедленно сообщил Microsoft.

Microsoft действовала быстро, и базы данных были восстановлены 31 декабря. Дьяченко высоко оценил ответ Microsoft в своем твиттере: «Слава команде MS Security Response – я приветствую поддержку MS за оперативность и быстрое решение этой проблемы, несмотря на канун Нового года».

Другие подобные нарушения безопасности

После этого последнего нарушения Microsoft рассматривает возможность внедрения новых стратегий, чтобы этого больше не повторилось. Они включают в себя аудит действующих правил безопасности внутренней сети и реализацию дополнительной автоматизации редактирования. Microsoft также намерена разместить дополнительные оповещения для уведомления сервисных команд при обнаружении неправильной конфигурации правил безопасности..

Тем не менее, нарушение Microsoft является лишь последним в ряду таких нарушений безопасности компаниями, которые раскрыли конфиденциальные данные потребителей из-за неправильной конфигурации сервера Elasticsearch. Другие компании, у которых были подобные нарушения, включают Wyze и Honda. Одно из самых крупных нарушений, которое выявило более миллиарда записей в ноябре прошлого года, также касалось серверов Elasticsearch..

Предупреждение о фишинге

Хотя записи Microsoft оставались открытыми только в течение короткого периода времени, неизвестно, попали ли они в руки киберпреступников. Поэтому эксперты по безопасности предупреждают клиентов, что следует опасаться фишинг-атак Microsoft или Windows, проводимых по электронной почте или по телефону..

Данные, содержащиеся в открытых записях, могут быть особенно ценными для мошенников службы технической поддержки. Такие мошенники выдают себя за представителей центра обработки вызовов от таких компаний, как Microsoft, для установки вредоносных программ на компьютеры жертв и кражи их финансовой информации..

С реальными номерами дел и информацией у мошенников будет больше шансов убедить своих жертв в том, что они сотрудники Microsoft. Вот почему эксперты по безопасности предупреждают пользователей о необходимости быть бдительными в отношении фишинг-атак в ближайшие месяцы..

Кроме того, пользователям Microsoft следует помнить, что Microsoft никогда не обращалась к пользователям заранее, чтобы решить их технические проблемы. Кроме того, Microsoft никогда не будет запрашивать пароли или требовать, чтобы пользователи устанавливали приложения удаленного рабочего стола, такие как TeamViewer. Это все тактики, обычно используемые мошенниками из службы технической поддержки..

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me