ΑρχικήsecurityΔιαρροή βάσης δεδομένων υποστήριξης πελατών της Microsoft

Διαρροή βάσης δεδομένων υποστήριξης πελατών της Microsoft

διαρροή

Πρόσφατα η Microsoft αποκάλυψε μία διαρροή δεδομένων που πραγματοποιήθηκε τον περασμένο Δεκέμβριο.

Σε ένα blog post που δημοσίευσε η εταιρεία, δήλωσε ότι μία εσωτερική βάση δεδομένων υποστήριξης πελατών, που αποθηκεύει ανώνυμα αναλυτικά στοιχεία των χρηστών, ήταν εκτεθειμένη το χρονικό διάστημα μεταξύ 5 και 31 Δεκεμβρίου.

Η διαρροή της βάσης δεδομένων εντοπίστηκε και αναφέρθηκε στη Microsoft από τον Bob Diachenko, έναν ερευνητή ασφάλειας της Security Discovery.

Σύμφωνα με τον Diachenko, η βάση δεδομένων υποστήριξης πελατών η οποία εκτέθηκε online, αποτελείται από ένα σύμπλεγμα πέντε server Elasticsearch, μια τεχνολογία που χρησιμοποιείται για την απλοποίηση των λειτουργιών αναζήτησης. Και οι πέντε κεντρικοί υπολογιστές αποθηκεύουν τα ίδια δεδομένα.

Ο ερευνητής δήλωσε επίσης ότι η Microsoft επέλυσε αμέσως το ζήτημα, παρά το γεγονός ότι ήταν παραμονή Πρωτοχρονιάς.

Οι διακομιστές περιείχαν περίπου 250 εκατομμύρια καταχωρίσεις, με πληροφορίες όπως διευθύνσεις ηλεκτρονικού ταχυδρομείου, διευθύνσεις IP και στοιχεία υποστήριξης. Η Microsoft δήλωσε ότι τα περισσότερα αρχεία δεν περιείχαν προσωπικές πληροφορίες χρηστών.

Ωστόσο, σε περιπτώσεις όπου οι χρήστες υπέβαλαν αιτήματα υποστήριξης, χρησιμοποιώντας μη τυποποιημένα μορφοποιημένα δεδομένα όπως (“όνομα επώνυμο @ emaildomain com” αντί για “όνομα_υπογραφή@email.com”), παρέμειναν στην εκτεθειμένη βάση δεδομένων.

Για αυτούς τους χρήστες η εταιρεία ξεκίνησε να στέλνει ειδοποιήσεις, στις οποίες τους ενημερώνει επίσης ότι δεν εντοπίστηκε κακόβουλη χρήση των δεδομένων τους.

Σύμφωνα με τη Microsoft, η διαρροή της βάσης δεδομένων, ήταν αποτέλεσμα κακώς ρυθμιζόμενων κανόνων ασφαλείας του Azure, οι οποίοι όμως τώρα έχουν διορθωθεί. Όπως δήλωσε η Microsoft, πλέον:

  • Γίνεται έλεγχος των καθιερωμένων κανόνων ασφάλειας δικτύων για εσωτερικούς πόρους.
  • Διευρίνεται το εύρος των μηχανισμών που εντοπίζουν τις παραπλανητικές παραλλαγές στους κανόνες ασφαλείας.
  • Προστήθενται επιπλέον ειδοποιήσεις στις ομάδες εξυπηρέτησης όταν εντοπίζονται εσφαλμένες ρυθμίσεις παραμέτρων ασφαλείας.
  • Εφαρμόζεται πρόσθετη αυτοματοποίηση επεξεργασίας.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS