מיקרוסופט חושפת 250 מיליון רשומות CSS בהפרת האבטחה האחרונה הזו VPNoverview.com

מיקרוסופט חשפה היום הפרת אבטחה שהתרחשה בחודש שעבר. הפרה זו חשפה רשומות שירות לקוחות ותמיכה (CSS) של כמעט 250 לקוחות באמצעות מספר שרתי Elasticsearch פנימיים לא מאובטחים.


מה שנחשף

במהלך הפרת האבטחה האחרונה הזו נחשפו רשומות CSS של מיקרוסופט שנמשכו 14 שנה. הרשומות כללו שיחות טלפון בין סוכני שירות ולקוחות מאז שנת 2005.

בסיס הנתונים הפנימי המכיל רשומות אלה הוחזק באשכול של חמישה שרתי Elasticsearch. אשכול Elasticsearch הוא מנוע חיפוש עם טקסט מלא מופץ המשמש לניתוח כמויות נתונים גדולות. כל חמשת השרתים הכילו אותו מידע ונראה שהם היו מראות זה של זה.

בסיס נתונים פנימי זה שימש לניתוח מקרים תומכים. לרוב הרשומות לא הכילו מידע המאפשר זיהוי אישי (PII), מכיוון שמקובל של מיקרוסופט לבצע פעולות חוזרות של PII ממאגרי נתונים אנליטיים. עם זאת, כמה מנתוני PII נותרו ברשומות בהן הלקוחות סיפקו אותם במתכונת לא סטנדרטית. למשל, כתובות דוא”ל מופרדות עם רווחים במקום להיכתב בפורמט רגיל.

לפיכך, למרות שרוב ה- PII בוצע מחדש מהרישומים, רבים עדיין הכילו כתובות אימייל וכתובות IP של לקוחות שנחשפו. הרשומות הכילו גם מיילים של סוכני תמיכה, הערות פנימיות ותיאורים של מקרי CSS.

החקירה של מיקרוסופט על הפרת האבטחה

מחקירת מיקרוסופט על ההפרה עולה כי הבעיה נגרמה כתוצאה משינוי בקבוצת אבטחת הרשת של בסיס הנתונים. השינוי שבוצע ב- 5 בדצמבר הכיל כללי אבטחה המוגדרים באופן שגוי שגרמו לחשיפת הנתונים במסד הנתונים.

מיקרוסופט גם הצהירה כי מחקירתם עולה כי הנתונים החשופים לא הושמו לשימוש זדוני. עם זאת, מיקרוסופט מתכוונת ליצור קשר עם כל הלקוחות שהיו להם נתוני PII במסד הנתונים שהופעל.

יתרה מזאת, החקירה קבעה כי הנושא היה ספציפי למסד הנתונים הפנימי המשמש לניתוח ניתוח מקרה. זה לא השפיע על שירותי הענן המסחריים של מיקרוסופט.

ציר זמן להפרת אבטחה

שרתי Elasticsearch הושארו באופן מקוון, ללא סיסמה ובלתי מוגנים, החל מה -5 עד 31 בדצמבר 2019. ההפרה נותרה ללא גילוי עד ה- 28 בדצמבר, אז השרתים הוספו לאינדקס על ידי מנוע החיפוש BinaryEdge. יום לאחר מכן, מאגרי המידע הלא מאובטחים התגלו על ידי יועץ עצמאי לאבטחת סייבר, בוב דיאצ’נקו, שהודיע ​​מייד למיקרוסופט.

מיקרוסופט פעלה במהירות ובסיסי הנתונים מאובטחים מחדש עד ה -31 בדצמבר. דיאצ’נקו שיבח את תגובתה של מיקרוסופט בציוץ שנכתב באומרו: “קודוס לצוות תגובת האבטחה של MS – אני מברך על צוות התמיכה של טרשת נפוצה על היענות ועל תפנית מהירה בנושא זה למרות הסילבסטר.”

הפרות אבטחה כאלה

בעקבות ההפרה האחרונה הזו, מיקרוסופט בוחנת ליישם אסטרטגיות חדשות כדי להבטיח שזה לא יקרה שוב. אלה כוללים ביקורת על כללי אבטחת הרשת הפנימיים הקיימים כעת ויישום אוטומציה נוספת של פעולות redaction. מיקרוסופט מתכוונת גם להוציא התראות נוספות כדי להודיע ​​לצוותי שירות כאשר מתגלים תצורות שגויות של כללי האבטחה.

עם זאת, ההפרה של מיקרוסופט היא רק האחרונה בשורה של הפרות אבטחה כאלה של חברות שחשפו נתונים צרכניים רגישים באמצעות תצורות שגויות של שרת Elasticsearch. חברות אחרות שעברו הפרות דומות כוללות את ווייז והונדה. אחת מהפרצות הגדולות ביותר, שחשפה למעלה ממיליארד רשומות בנובמבר בשנה שעברה, כללה גם שרתי Elasticsearch.

התרעות דיוג

אמנם הרשומות של מיקרוסופט הושארו חשופות למשך פרק זמן קצר בלבד, אך לא ידוע אם הן נפלו בידי פושעי רשת. לפיכך, מומחי אבטחה מזהירים את הלקוחות להיזהר מפני הונאות דיוג של מיקרוסופט או חלונות שנערכו באמצעות דואר אלקטרוני או טלפון.

הנתונים הכלולים ברשומות החשופות עשויים להיות חשובים במיוחד לרמאי תמיכה טכנית. רמאים כאלה מתחזים לנציגי מוקד טלפוני מחברות כמו מיקרוסופט להתקנת תוכנות זדוניות במחשבי הקורבן ולגניבת המידע הכספי שלהם.

עם מספרי תיקים ומידע אמיתיים ביד, לרמאים יש סיכוי טוב יותר לשכנע את קורבנותיהם שהם עובדי מיקרוסופט. זו הסיבה שמומחי אבטחה מזהירים את המשתמשים להיות ערניים במיוחד לתרמי דיוג בחודשים הקרובים.

יתר על כן, משתמשי מיקרוסופט צריכים לזכור שמיקרוסופט לעולם לא פונה באופן יזום למשתמשים לפתור את הבעיות הטכניות שלהם. מיקרוסופט אף פעם לא תבקש סיסמאות או תבקש מהמשתמשים להתקין יישומי שולחן עבודה מרוחק כמו TeamViewer. כל אלה הם טקטיקות המשמשות בדרך כלל רמאי תמיכה טכנית.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me