Microsoft เปิดเผยบันทึกการสนับสนุนลูกค้า 250 ล้านรายการทางออนไลน์โดยไม่ได้ตั้งใจ
2 นาที. อ่าน
อัปเดตเมื่อวันที่
อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม
รายงานใหม่ในวันนี้เปิดเผยว่า Microsoft เปิดเผยข้อมูลบริการลูกค้าและการสนับสนุน 250 ล้านรายการทางออนไลน์โดยไม่ได้ตั้งใจ ข้อมูลรั่วไหลรวมถึงการสนทนาระหว่างตัวแทนฝ่ายสนับสนุนของ Microsoft และลูกค้าซึ่งบันทึกตั้งแต่ปี 2005 ถึงธันวาคม 2019 หลังจากได้รับข้อมูลเกี่ยวกับการรั่วไหลแล้ว Microsoft ได้รักษาความปลอดภัยข้อมูลจากสาธารณะ สิ่งหนึ่งที่ดีคือข้อมูลที่ระบุตัวบุคคลนั้นถูกแก้ไขในข้อมูลที่รั่วไหล
ข้อมูลรั่วไหลมีข้อมูลต่อไปนี้:
- ที่อยู่อีเมลของลูกค้า
- ที่อยู่ IP
- สาขา
- คำอธิบายของการเรียกร้องและกรณี CSS
- อีเมลตัวแทนฝ่ายสนับสนุนของ Microsoft
- หมายเลขคดี มติ และข้อสังเกต
- บันทึกภายในที่ทำเครื่องหมายว่าเป็น "ความลับ"
สิ่งสำคัญคือต้องทราบว่าทุกคนสามารถเข้าถึงข้อมูลได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ ข้อมูลถูกค้นพบครั้งแรกในวันที่ 29 ธันวาคม และ Microsoft ได้ดำเนินการในวันที่ 30 ธันวาคม Microsoft แก้ไขปัญหานี้ภายใน 24 ชั่วโมง!
“ฉันรายงานสิ่งนี้ไปยัง Microsoft ทันที และภายใน 24 ชั่วโมงเซิร์ฟเวอร์ทั้งหมดได้รับการรักษาความปลอดภัย” Bob Diachenko จากทีมวิจัยด้านความปลอดภัยของ Comparitech กล่าว “ผมปรบมือให้ทีมสนับสนุนของ MS สำหรับการตอบสนองและการตอบสนองอย่างรวดเร็วในเรื่องนี้แม้จะเป็นวันส่งท้ายปีเก่าก็ตาม”
หากข้อมูลที่เปิดเผยอยู่ในมือที่ไม่ถูกต้อง มีความเป็นไปได้สูงที่ที่อยู่อีเมลของลูกค้าจะถูกใช้สำหรับ กลโกงการสนับสนุนด้านเทคนิค. หวังว่า Microsoft จะแจ้งเตือนลูกค้าให้ระมัดระวังในอีกไม่กี่เดือนข้างหน้า
บันทึก: Microsoft ยืนยันการรั่วไหลของข้อมูลและเปิดเผยว่าปัญหานี้เกิดขึ้นเนื่องจากการกำหนดค่าฐานข้อมูลการสนับสนุนลูกค้าภายในไม่ถูกต้องที่ใช้สำหรับการวิเคราะห์กรณีการสนับสนุนของ Microsoft Microsoft กล่าวว่ากำลังดำเนินการเพื่อป้องกันไม่ให้เกิดปัญหานี้ขึ้นในอนาคต การดำเนินการรวมถึง:
- การตรวจสอบกฎความปลอดภัยเครือข่ายที่กำหนดไว้สำหรับทรัพยากรภายใน
- การขยายขอบเขตของกลไกที่ตรวจพบการกำหนดค่าผิดกฎความปลอดภัย
- การเพิ่มการแจ้งเตือนเพิ่มเติมให้กับทีมบริการเมื่อตรวจพบการกำหนดค่ากฎความปลอดภัยผิดพลาด
- การใช้ระบบอัตโนมัติการโต้ตอบเพิ่มเติม
“น่าเสียดายที่การกำหนดค่าผิดพลาดเป็นข้อผิดพลาดทั่วไปในอุตสาหกรรม เรามีวิธีแก้ไขปัญหาเพื่อช่วยป้องกันข้อผิดพลาดประเภทนี้ แต่น่าเสียดาย ที่ไม่ได้เปิดใช้งานสำหรับฐานข้อมูลนี้ ตามที่เราได้เรียนรู้ เป็นการดีที่จะตรวจสอบการกำหนดค่าของคุณเองเป็นระยะ และให้แน่ใจว่าคุณได้ใช้ประโยชน์จากการป้องกันทั้งหมดที่มี” Microsoft เขียน
ที่มา: คอมพาริเทค ไมโครซอฟท์