微軟數據泄露了2.5億客戶服務和支持記錄

老陳lc 發佈 2020-01-24T05:24:38+00:00

據研究人員鮑勃·迪亞琴科稱,發現該資料庫可供能夠運行Web瀏覽器的任何人訪問,近2.5億個客戶服務和支持記錄包含Microsoft支持團隊與全球客戶之間的對話記錄。



Microsoft已承認,在2019年12月5日至31日之間,內部客戶支持資料庫(本應為)的安全規則配置錯誤,使任何人都可以訪問該資料庫,無需密碼。

據研究人員鮑勃·迪亞琴科(Bob Diachenko)稱,發現該資料庫可供能夠運行Web瀏覽器的任何人訪問,近2.5億個客戶服務和支持(CSS)記錄包含Microsoft支持團隊與全球客戶之間的對話記錄。

該數據涵蓋了從2005年到2019年12月的14年時間,是在五台Elasticsearch伺服器上找到的,每台伺服器似乎包含了2.5億個資料庫記錄的相同副本。

根據微軟的博客文章,「絕大多數記錄」已被自動清理以刪除一些個人信息。

但是,迪亞琴科報告說,發現許多記錄包含以下敏感信息:

  • 客戶電子郵件地址
  • IP位址
  • 地點
  • CSS聲明和案例的描述
  • Microsoft支持代理電子郵件
  • 案例編號,解決方案和備註
  • 內部注釋標記為「機密」

這樣的信息對於冒充真正的Microsoft支持技術人員的騙子顯然很有用。

微軟顯然對傻瓜感到尷尬:

不幸的是,配置錯誤是整個行業的常見錯誤。我們有解決方案來幫助防止這種錯誤,但是很遺憾,該資料庫未啟用它們。據我們了解,最好定期檢查自己的配置,並確保您利用所有可用的保護。」

「我們要真誠地向客戶道歉並向我們保證,我們正在認真對待它,並努力學習並採取行動以防止將來再次發生。我們也要感謝研究員鮑勃·迪亞琴科(Bob Diachenko)與我們緊密合作,以便我們能夠迅速糾正這種錯誤配置,調查情況並開始酌情通知客戶。」

微軟表示,對其安全漏洞的調查「未發現對數據的惡意使用」,但它已開始通知客戶其數據存在於不安全資料庫中。

關鍵字: