autor: Konrad Hazi
Wyciekły miliony rekordów z danymi klientów Microsoftu
Końcówka 2019 roku musiała być naprawdę nieprzyjemna dla Microsoftu. Okazało się bowiem, że za sprawą błędu w zabezpieczeniach bazy danych publicznie dostępnych było ponad 250 milionów rekordów z informacjami dotyczącymi użytkowników. Dziura została załatana natychmiast po wykryciu.
Okres świąteczno-noworoczny to dla większości z nas czas spotkań z rodziną oraz zasłużonego odpoczynku. Jak się jednak okazuje, są tacy, którzy spędzają ten czas wyszukując dziury w zabezpieczeniach. I to nie byle jakie… Jak dowiadujemy się z opublikowanej dziś notatki, błąd konfiguracji bazy danych sprawił, że w zasadzie każdy użytkownik Internetu miał możliwość podejrzenia 250 milionów rekordów z bazy danych działu obsługi klienta i wsparcia nie kogo innego jak Microsoftu.
Bug się rodzi…
Dziura została odkryta przez Boba Diachenko z firmy Comparitech 29 grudnia ubiegłego roku. Microsoft załatał ją w ciągu dwóch dni i tłumaczy, że problem spowodowany był „niepoprawną konfiguracją” jednej z wewnętrznych baz danych działu wsparcia. Przedstawiciele firmy z Redmond zaznaczają także, że nie ma dowodów na to, by publicznie dostępne informacje zostały użyte w jakikolwiek niezgodny z prawem sposób.
Na serwerze przechowywane były między innymi logi rozmów obsługi technicznej z użytkownikami sięgające aż do 2005 roku. Jak twierdzi Comparitech, baza danych nie była zabezpieczona hasłem.
Tymczasem Microsoft broni się twierdząc, że „zdecydowana większość” danych osobowych została zaczerniona. Comparitech odkrył jednak, że niektóre informacje, takie jak adresy email czy IP użytkowników przechowywane były jako zwykły tekst. Jeśli ktoś uzyskał do nich dostęp, to być może nie mógł wykorzystać ich bezpośrednio do wyrządzenia krzywdy, jednak pozwalały one na sprawne podszycie się pod pomoc techniczną Microsoftu i wyłudzanie kolejnych danych.
Microsoft przeprasza
Chcemy szczerze przeprosić i zapewnić naszych klientów, że bierzemy sprawę na poważnie i pracujemy w pocie czoła, by wynieść z tego lekcję, podjąć odpowiednie działania i zapobiec podobnym sytuacjom w przyszłości - stwierdził Microsoft w komunikacie. Firma rozpoczęła także informowanie poszkodowanych użytkowników o zaistniałej sytuacji.
W związku z ostatnim wyciekiem, Microsoft zdecydował się również na przeprowadzenie audytu wewnętrznych zasad bezpieczeństwa oraz na implementację narzędzi, które pozwolą na automatyczne zaczernianie wrażliwych danych użytkowników. Wprowadzone zostaną też nowe alerty, które mają natychmiast informować serwisantów o błędach w konfiguracji serwerów.
Tykająca bomba
Dla Microsoftu to drugi tak poważny incydent związany z działem obsługi klienta w ciągu roku, bowiem w kwietniu 2019 doszło do innego wycieku. Jak twierdzi firma, hakerzy wykorzystali wtedy dane logowania jednego z pracowników, by uzyskać dostęp do kont mailowych użytkowników. Wygląda jednak na to, że największym problemem w obu sytuacjach okazuje się być fakt, że pracownicy obsługi technicznej mają niemal nieograniczony dostęp do informacji dotyczących użytkowników, przez co stają się bardzo łakomym kąskiem dla hakerów. Jak stwierdził Dave Aitel z firmy Cyxtera na początku ubiegłego roku, „wsparcie techniczne jest luką czekającą na odkrycie”. Były to prorocze słowa...