Η Microsoft εκθέτει 250 εκατομμύρια εγγραφές CSS σε αυτήν την τελευταία παραβίαση ασφαλείας | VPNoverview.com

Η Microsoft σήμερα αποκάλυψε παραβίαση ασφαλείας που είχε συμβεί τον περασμένο μήνα. Αυτή η παραβίαση αποκάλυψε αρχεία εξυπηρέτησης πελατών και υποστήριξης (CSS) σχεδόν 250 πελατών μέσω πολλών μη ασφαλών εσωτερικών διακομιστών Elasticsearch.


Τι εκτέθηκε

Κατά τη διάρκεια αυτής της τελευταίας παραβίασης ασφαλείας, εκτελέστηκαν εγγραφές Microsoft CSS για 14 χρόνια. Τα αρχεία περιλάμβαναν τηλεφωνικές συνομιλίες μεταξύ πρακτόρων υπηρεσιών και πελατών που χρονολογούνται από το 2005.

Η εσωτερική βάση δεδομένων που περιέχει αυτές τις εγγραφές διατηρήθηκε σε ένα σύμπλεγμα πέντε διακομιστών Elasticsearch. Ένα σύμπλεγμα Elasticsearch είναι μια κατανεμημένη μηχανή αναζήτησης πλήρους κειμένου που χρησιμοποιείται για την ανάλυση μεγάλων όγκων δεδομένων. Και οι πέντε διακομιστές περιείχαν τις ίδιες πληροφορίες και φαίνεται να ήταν καθρέφτες του άλλου.

Αυτή η εσωτερική βάση δεδομένων χρησιμοποιείται για αναλυτικά στοιχεία υποθέσεων υποστήριξης. Κυρίως οι εγγραφές δεν περιείχαν πληροφορίες προσωπικής ταυτοποίησης (PII), καθώς αποτελεί συνήθης πρακτική της Microsoft να εξαργυρώνει το PII από βάσεις δεδομένων αναλυτικών στοιχείων. Ωστόσο, ορισμένα δεδομένα PII παρέμειναν στα αρχεία όπου οι πελάτες τα παρείχαν σε μη τυπική μορφή. Για παράδειγμα, οι διευθύνσεις email διαχωρίζονται με κενά αντί να γράφονται σε τυπική μορφή.

Έτσι, παρόλο που τα περισσότερα PII αφαιρέθηκαν από τα αρχεία, πολλά περιείχαν ακόμη διευθύνσεις email και IP πελατών, οι οποίες εκτέθηκαν. Τα αρχεία περιείχαν επίσης ηλεκτρονικά μηνύματα υποστήριξης, εσωτερικές σημειώσεις και περιγραφές περιπτώσεων CSS.

Η έρευνα της Microsoft για παραβίαση ασφαλείας

Η έρευνα της Microsoft για την παραβίαση αποκάλυψε ότι το πρόβλημα προκλήθηκε από αλλαγή στην ομάδα ασφαλείας δικτύου της βάσης δεδομένων. Η αλλαγή που πραγματοποιήθηκε στις 5 Δεκεμβρίου περιείχε εσφαλμένους κανόνες ασφαλείας που προκάλεσαν την έκθεση των δεδομένων στη βάση δεδομένων.

Η Microsoft δήλωσε επίσης ότι η έρευνά τους έδειξε ότι τα εκτεθειμένα δεδομένα δεν είχαν χρησιμοποιηθεί σε κακόβουλη χρήση. Παρ ‘όλα αυτά, η Microsoft σκοπεύει να επικοινωνήσει με όλους τους πελάτες που είχαν δεδομένα PII στη διαγραμμένη βάση δεδομένων.

Επιπλέον, η έρευνα διαπίστωσε ότι το ζήτημα αφορούσε την εσωτερική βάση δεδομένων που χρησιμοποιήθηκε για την ανάλυση περιπτώσεων υποστήριξης. Δεν επηρέασε τις εμπορικές υπηρεσίες cloud της Microsoft.

Χρονολόγιο παραβίασης ασφαλείας

Οι διακομιστές Elasticsearch αφέθηκαν στο Διαδίκτυο, χωρίς κωδικό πρόσβασης και χωρίς προστασία, από τις 5 έως τις 31 Δεκεμβρίου 2019. Η παράβαση παρέμεινε μη εντοπισμένη μέχρι τις 28 Δεκεμβρίου, όταν οι διακομιστές ευρετηριάστηκαν από τη μηχανή αναζήτησης BinaryEdge. Μια μέρα αργότερα, οι μη ασφαλείς βάσεις δεδομένων ανακαλύφθηκαν από έναν ανεξάρτητο σύμβουλο ασφάλειας στον κυβερνοχώρο, τον Bob Diachenko, ο οποίος ενημέρωσε αμέσως τη Microsoft.

Η Microsoft ενήργησε γρήγορα και οι βάσεις δεδομένων ασφαλίστηκαν ξανά έως τις 31 Δεκεμβρίου. Ο Ντιτσένκο επαίνεσε την απάντηση της Microsoft σε ένα tweet που έλεγε: “Kudos to MS Security Response team – επικροτώ την ομάδα υποστήριξης των κρατών μελών για την ανταπόκριση και γρήγορη ανάκαμψη σε αυτό παρά την παραμονή της Πρωτοχρονιάς.”

Άλλες παραβιάσεις ασφαλείας

Μετά από αυτήν την τελευταία παραβίαση, η Microsoft εξετάζει την εφαρμογή νέων στρατηγικών για να διασφαλίσει ότι αυτό δεν θα συμβεί ξανά. Αυτά περιλαμβάνουν τον έλεγχο των εσωτερικών κανόνων ασφαλείας του δικτύου που ισχύουν επί του παρόντος και την εφαρμογή πρόσθετου αυτοματισμού μείωσης. Η Microsoft σκοπεύει επίσης να θέσει σε εφαρμογή πρόσθετες ειδοποιήσεις για να ειδοποιεί τις ομάδες υπηρεσιών όταν εντοπίζονται εσφαλμένες ρυθμίσεις κανόνα ασφαλείας.

Ωστόσο, η παραβίαση της Microsoft είναι η τελευταία σε μια σειρά τέτοιων παραβιάσεων ασφάλειας από εταιρείες που έχουν εκτεθεί ευαίσθητα δεδομένα καταναλωτών μέσω εσφαλμένων διαμορφώσεων διακομιστή Elasticsearch. Άλλες εταιρείες που είχαν παρόμοιες παραβιάσεις περιλαμβάνουν τη Wyze και τη Honda. Μία από τις μεγαλύτερες παραβιάσεις, η οποία αποκάλυψε περισσότερα από ένα δισεκατομμύριο αρχεία τον Νοέμβριο του περασμένου έτους, αφορούσε επίσης διακομιστές της Elasticsearch.

Προειδοποίηση για απάτες ηλεκτρονικού ψαρέματος

Παρόλο που τα αρχεία της Microsoft αφέθηκαν εκτεθειμένα για μικρό χρονικό διάστημα, δεν είναι γνωστό εάν έχουν πέσει στα χέρια των εγκληματιών στον κυβερνοχώρο. Επομένως, οι ειδικοί ασφαλείας προειδοποιούν τους πελάτες να είναι προσεκτικοί με απάτες ηλεκτρονικού ψαρέματος (phishing) της Microsoft ή των Windows που πραγματοποιούνται είτε μέσω email ή τηλεφώνου.

Τα δεδομένα που περιέχονται στα εκτεθειμένα αρχεία θα μπορούσαν να είναι ιδιαίτερα πολύτιμα για τους απατεώνες τεχνικής υποστήριξης. Τέτοιοι απατεώνες πλαστοπροσωπούν εκπροσώπους τηλεφωνικών κέντρων από εταιρείες όπως η Microsoft για να εγκαταστήσουν κακόβουλο λογισμικό σε υπολογιστές των θυμάτων και να κλέψουν τα οικονομικά τους στοιχεία.

Με τους πραγματικούς αριθμούς και τις πληροφορίες υπόθεσης, οι απατεώνες θα έχουν περισσότερες πιθανότητες να πείσουν τα θύματά τους ότι είναι υπάλληλοι της Microsoft. Αυτός είναι ο λόγος για τον οποίο οι ειδικοί ασφαλείας προειδοποιούν τους χρήστες να είναι ιδιαίτερα προσεκτικοί για απάτες ηλεκτρονικού ψαρέματος τους επόμενους μήνες.

Επιπλέον, οι χρήστες της Microsoft πρέπει να λάβουν υπόψη ότι η Microsoft δεν προσεγγίζει ποτέ προληπτικά τους χρήστες για να λύσουν τα τεχνικά τους προβλήματα. Ούτε η Microsoft θα ζητούσε ποτέ κωδικούς πρόσβασης ούτε θα ζητούσε από τους χρήστες να εγκαταστήσουν εφαρμογές απομακρυσμένης επιφάνειας εργασίας όπως το TeamViewer. Αυτές είναι όλες οι τακτικές που χρησιμοποιούνται συνήθως από τους απατεώνες τεχνικής υποστήριξης.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me