מיקרוסופט חושפת בטעות 250 מיליון רשומות תמיכת לקוחות באינטרנט

דוח חדש חשף היום כי מיקרוסופט חשפה בטעות 250 מיליון רשומות שירות לקוחות ותמיכה באינטרנט. הנתונים שהודלפו כללו שיחות בין סוכני תמיכה ולקוחות של מיקרוסופט שהוקלטו מ-2005 עד דצמבר 2019. לאחר קבלת המידע על ההדלפה, מיקרוסופט אבטחה כעת את הנתונים מציבור. דבר טוב אחד הוא שמידע אישי מזהה הוסגר בנתונים שדלפו.

הנתונים שהודלפו כללו את המידע הבא:

• כתובות אימייל של לקוחות
• כתובות IP
• אזורי פעילות
• תיאורי תביעות ומקרים של CSS
• דואר אלקטרוני של סוכני תמיכה של Microsoft
• מספרי תיקים, החלטות והערות
• הערות פנימיות מסומנות כ"סודיות"

חשוב לציין שהנתונים הושארו נגישים לכל אדם ללא כל צורך באימות. הנתונים נמצאו לראשונה ב-29 בדצמבר ומיקרוסופט נקטה פעולה ב-30 בדצמבר. מיקרוסופט תיקנה את הבעיה תוך 24 שעות!

"דיווחתי על כך מיד למיקרוסופט ותוך 24 שעות כל השרתים אובטחו", אמר בוב דיאצ'נקו מצוות מחקרי האבטחה של Comparitech. "אני מברך את צוות התמיכה של MS על ההיענות והתפנית המהירה בנושא למרות ערב השנה החדשה."

אם הנתונים החשופים כבר נמצאים בידיים הלא נכונות, קיימת אפשרות גבוהה שכתובות הדוא"ל של הלקוחות ישמשו עבורם הונאות תמיכה טכנית. בתקווה, מיקרוסופט תתריע ללקוחותיה להיות זהירים בחודשים הקרובים.

עדכון: Microsoft אישרה דליפת נתונים זו וחשפה כי בעיה זו התרחשה עקב תצורה שגויה של מסד נתונים פנימי של תמיכת לקוחות המשמש לניתוח מקרי תמיכה של Microsoft. מיקרוסופט ציינה שהיא נוקטת בפעולה כדי למנוע התרחשויות עתידיות של בעיה זו. הפעולות כוללות:

• ביקורת על כללי אבטחת הרשת שנקבעו עבור משאבים פנימיים.
• הרחבת היקף המנגנונים המזהים הגדרות שגויות של כללי אבטחה.
• הוספת התראה נוספת לצוותי שירות כאשר מזוהות הגדרות שגויות של כללי אבטחה.
• הטמעת אוטומציה נוספת של עריכה.

"תצורות שגויות הן למרבה הצער שגיאה נפוצה בכל התעשייה. יש לנו פתרונות שיעזרו למנוע טעות מסוג זה, אך למרבה הצער, הם לא הופעלו עבור מסד נתונים זה. כפי שלמדנו, כדאי לבדוק מעת לעת את התצורות שלך ולהבטיח שאתה מנצל את כל ההגנות הזמינות", כתבה מיקרוסופט.

מקור: Comparitech. מיקרוסופט