本周三,微軟表示已完成對某個安全漏洞的修復工作。早在 2019 年 12 月,就已經曝出了泄露客戶資料庫的嚴重 bug 。慶幸的是,目前尚未發現有數據被惡意使用。官方博客的一篇文章寫到:12 月 5 日,Azure 資料庫安全規則中的一個錯誤配置,使得數百萬客戶的支持記錄被暴露。
(題圖 via Cnet)
在收到問題警報後,工程師於 12 月 31 日修復了該問題。儘管尚無數據被惡意使用的報告,但微軟正在向客戶透明地披露。
遺憾的是,配置錯誤是全行業內都相當常見的錯誤。我們有解決方案來防止這種錯誤,但卻尚未為該資料庫啟用這些措施。
據我們了解,定期檢查自己的配置、並確保啟用所有可行的措施,將獲得更加全面的防護。
至於存儲在資料庫中的大多數客戶數據,其實已經剔除了個人信息。對於那些可能未編輯其信息的客戶,該公司也將與之取得聯繫。
Comparitech 安全研究員 Bob Diachenko 指出:安全漏洞最初發現於 12 月 28 日,但在向微軟發出警告後,該公司在兩天後完成了修復。
對於此事,微軟表示正在採取如下措施,以防止將來發生類似的意外:
(1)審核內部資源中已建立的網絡安全規則。
(2)擴展檢測安全規則配置錯誤的機制範圍。
(3)當檢測到配置錯誤時,向服務團隊附加其它警報。
(4)實施其它可行的自動化修訂。