Πρόσφατα η Microsoft αποκάλυψε μία διαρροή δεδομένων που πραγματοποιήθηκε τον περασμένο Δεκέμβριο.
Σε ένα blog post που δημοσίευσε η εταιρεία, δήλωσε ότι μία εσωτερική βάση δεδομένων υποστήριξης πελατών, που αποθηκεύει ανώνυμα αναλυτικά στοιχεία των χρηστών, ήταν εκτεθειμένη το χρονικό διάστημα μεταξύ 5 και 31 Δεκεμβρίου.
Η διαρροή της βάσης δεδομένων εντοπίστηκε και αναφέρθηκε στη Microsoft από τον Bob Diachenko, έναν ερευνητή ασφάλειας της Security Discovery.
Google Cloud: Το MFA θα γίνει υποχρεωτικό
Παράξενες Πράσινες Κοιλίδες στα Πετρώματα του Άρη
Πρώτος Ξύλινος Δορυφόρος: Eπανάσταση στο Διαστημικό Τομέα
Σύμφωνα με τον Diachenko, η βάση δεδομένων υποστήριξης πελατών η οποία εκτέθηκε online, αποτελείται από ένα σύμπλεγμα πέντε server Elasticsearch, μια τεχνολογία που χρησιμοποιείται για την απλοποίηση των λειτουργιών αναζήτησης. Και οι πέντε κεντρικοί υπολογιστές αποθηκεύουν τα ίδια δεδομένα.
Ο ερευνητής δήλωσε επίσης ότι η Microsoft επέλυσε αμέσως το ζήτημα, παρά το γεγονός ότι ήταν παραμονή Πρωτοχρονιάς.
Οι διακομιστές περιείχαν περίπου 250 εκατομμύρια καταχωρίσεις, με πληροφορίες όπως διευθύνσεις ηλεκτρονικού ταχυδρομείου, διευθύνσεις IP και στοιχεία υποστήριξης. Η Microsoft δήλωσε ότι τα περισσότερα αρχεία δεν περιείχαν προσωπικές πληροφορίες χρηστών.
Ωστόσο, σε περιπτώσεις όπου οι χρήστες υπέβαλαν αιτήματα υποστήριξης, χρησιμοποιώντας μη τυποποιημένα μορφοποιημένα δεδομένα όπως (“όνομα επώνυμο @ emaildomain com” αντί για “όνομα_υπογραφή@email.com”), παρέμειναν στην εκτεθειμένη βάση δεδομένων.
Για αυτούς τους χρήστες η εταιρεία ξεκίνησε να στέλνει ειδοποιήσεις, στις οποίες τους ενημερώνει επίσης ότι δεν εντοπίστηκε κακόβουλη χρήση των δεδομένων τους.
Σύμφωνα με τη Microsoft, η διαρροή της βάσης δεδομένων, ήταν αποτέλεσμα κακώς ρυθμιζόμενων κανόνων ασφαλείας του Azure, οι οποίοι όμως τώρα έχουν διορθωθεί. Όπως δήλωσε η Microsoft, πλέον:
- Γίνεται έλεγχος των καθιερωμένων κανόνων ασφάλειας δικτύων για εσωτερικούς πόρους.
- Διευρίνεται το εύρος των μηχανισμών που εντοπίζουν τις παραπλανητικές παραλλαγές στους κανόνες ασφαλείας.
- Προστήθενται επιπλέον ειδοποιήσεις στις ομάδες εξυπηρέτησης όταν εντοπίζονται εσφαλμένες ρυθμίσεις παραμέτρων ασφαλείας.
- Εφαρμόζεται πρόσθετη αυτοματοποίηση επεξεργασίας.