NURPHOTO ЧЕРЕЗ GETTY IMAGES
Новый отчет показывает, что 250 миллионов записей клиентов Microsoft, охватывающих 14 лет, были открыты в интернете без защиты паролем.
Microsoft была в новостях, в основном, по неправильным причинам в последнее время. Существует уязвимость нулевого дня Internet Explorer, для которой Microsoft не выпустила исправление, несмотря на то, что она активно используется. Это произошло всего через несколько дней после того, как правительство США выпустило критическое обновление Windows 10 теперь предупреждает о “чрезвычайно серьезной” крипто-уязвимости curveball . Теперь недавно опубликованный отчет показал, что 250 миллионов записей клиентов Microsoft, охватывающих невероятные 14 лет в целом, были выставлены онлайн в базе данных без защиты паролем.
Какие записи клиентов Microsoft были представлены в интернете, и откуда они пришли?
Пол Бишофф, защитник конфиденциальности и редактор Comparitech, показал, как расследование исследовательской группы Comparitech security обнаружило не менее пяти серверов, содержащих тот же набор из 250 миллионов записей. Эти записи были журналами обслуживания и поддержки клиентов, детализирующими беседы между агентами службы поддержки Майкрософт и клиентами со всего мира. Невероятно, но необеспеченные серверы Elasticsearch содержали записи, охватывающие период с 2005 года до декабря 2019 года. Когда я говорю "незащищенные", я имею в виду, что данные были доступны любому человеку с веб-браузером, который наткнулся на базы данных: никакая аутентификация вообще не требовалась для доступа к ним, согласно отчету Comparitech.
Характер данных, как представляется, заключается в том, что большая часть идентифицирующей личность информации была отредактирована. Однако исследователи говорят, что многие из них содержат простые текстовые данные, включая адреса электронной почты клиентов, IP-адреса, географические местоположения, описания претензий и обращений службы поддержки клиентов и службы поддержки, электронные письма агента Службы Поддержки Майкрософт, номера обращений и разрешения, а также внутренние заметки, которые были помечены как конфиденциальные. Это может показаться не очень важным в общей схеме вещей, но когда вы считаете, что мошенники из службы поддержки Microsoft довольно разгул, не нужно быть гением, чтобы понять, насколько ценной будет такая информация для мошенников, осуществляющих такие атаки.
Как была обнаружена уязвимость данных Microsoft и сколько времени потребовалось для блокировки?
28 декабря 2019 года упомянутые базы данных были обнаружены и проиндексированы поисковой системой threat intelligence BinaryEdge. На следующий день Боб Дьяченко, возглавлявший исследовательскую группу Comparitech security research, заметил их и уведомил Microsoft. “Я сразу же сообщил об этом в Microsoft, и в течение 24 часов все серверы были защищены”, - сказал Дьяченко. Учитывая время года, это был удивительно быстрый ответ. Тем не менее, это была также удивительно серьезная утечка.
Эрик Доэрр, генеральный менеджер Центра Microsoft Security Response Center, сказал: "Мы благодарны Бобу Дьяченко за тесное сотрудничество с нами, чтобы мы смогли быстро исправить эту неправильную конфигурацию, проанализировать данные и уведомить клиентов по мере необходимости.”
На данный момент неизвестно, был ли доступ к базам данных кем-либо еще в то время, когда они были открыты в интернете.
В сообщении Microsoft Security Response Center от 22 января Microsoft заявила “что " расследование не обнаружило никакого вредоносного использования, и хотя большинство клиентов не раскрывали личную информацию, мы хотим быть прозрачными об этом инциденте со всеми клиентами и заверить их, что мы относимся к нему очень серьезно и несем ответственность.”
Это сообщение также подтвердило, что раскрытие базы данных началось 5 декабря 2019 года в результате неверно настроенных правил безопасности и было исправлено 31 декабря. Заявление включало извинения от Microsoft : "мы хотим искренне извиниться и заверить наших клиентов, что мы принимаем это всерьез и усердно работаем, чтобы узнать и принять меры, чтобы предотвратить любое повторение в будущем.”
Пришло время для правительств начать бросать молоток на очень предотвратимые нарушения данных
Я спросил Яна Торнтона-Трампа , CISO в Cyjax и соведущего конференции виртуальной безопасности BeerConOne, о его мыслях об этом инциденте. ” Это массовое и не неожиданное, если честно, - сказал он. - это просто показывает, насколько сложно для любого, даже гигантской технологической компании, правильно управлять данными и хранилищем.”
Учитывая , что уже был интерес со стороны европейских агентств по защите данных относительно того, как Microsoft собирает данные от пользователей Windows 10, меня не удивит, если в настоящее время проводятся дальнейшие расследования с целью штрафов за общее регулирование защиты данных ЕС (GDPR). “Это как бы деморализует мою душу, когда даже продавец, похоже, не может получить это правильно,-говорит Торнтон-Трамп, - и почему поставщик хранит такие древние записи в первую очередь? Я думаю, что пришло время для правительств начать бросать молоток на эти очень предотвратимые нарушения данных.”
Обновлено 22 Января 2020 Года
Эта статья была обновлена, чтобы включить комментарии и ссылки на инструкции корпорации Майкрософт
Источник.
Post A Comment:
0 comments: