Microsoft เปิดเผยบันทึกการสนับสนุนลูกค้า 250 ล้านรายการทางออนไลน์โดยไม่ได้ตั้งใจ

หน้าแรก » ข่าว

ไอคอนเวลาอ่านหนังสือ 2 นาที. อ่าน

ไอคอนปฏิทิน อัปเดตเมื่อวันที่

by ประทีป วิศวาว 

อัปเดตเมื่อ

แชร์บทความนี้

ผู้อ่านช่วยสนับสนุน MSpoweruser เราอาจได้รับค่าคอมมิชชันหากคุณซื้อผ่านลิงก์ของเรา ไอคอนคำแนะนำเครื่องมือ

อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม

โลโก้ Microsoft

รายงานใหม่ในวันนี้เปิดเผยว่า Microsoft เปิดเผยข้อมูลบริการลูกค้าและการสนับสนุน 250 ล้านรายการทางออนไลน์โดยไม่ได้ตั้งใจ ข้อมูลรั่วไหลรวมถึงการสนทนาระหว่างตัวแทนฝ่ายสนับสนุนของ Microsoft และลูกค้าซึ่งบันทึกตั้งแต่ปี 2005 ถึงธันวาคม 2019 หลังจากได้รับข้อมูลเกี่ยวกับการรั่วไหลแล้ว Microsoft ได้รักษาความปลอดภัยข้อมูลจากสาธารณะ สิ่งหนึ่งที่ดีคือข้อมูลที่ระบุตัวบุคคลนั้นถูกแก้ไขในข้อมูลที่รั่วไหล

ข้อมูลรั่วไหลมีข้อมูลต่อไปนี้:

  • ที่อยู่อีเมลของลูกค้า
  • ที่อยู่ IP
  • สาขา
  • คำอธิบายของการเรียกร้องและกรณี CSS
  • อีเมลตัวแทนฝ่ายสนับสนุนของ Microsoft
  • หมายเลขคดี มติ และข้อสังเกต
  • บันทึกภายในที่ทำเครื่องหมายว่าเป็น "ความลับ"

สิ่งสำคัญคือต้องทราบว่าทุกคนสามารถเข้าถึงข้อมูลได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ ข้อมูลถูกค้นพบครั้งแรกในวันที่ 29 ธันวาคม และ Microsoft ได้ดำเนินการในวันที่ 30 ธันวาคม Microsoft แก้ไขปัญหานี้ภายใน 24 ชั่วโมง!

“ฉันรายงานสิ่งนี้ไปยัง Microsoft ทันที และภายใน 24 ชั่วโมงเซิร์ฟเวอร์ทั้งหมดได้รับการรักษาความปลอดภัย” Bob Diachenko จากทีมวิจัยด้านความปลอดภัยของ Comparitech กล่าว “ผมปรบมือให้ทีมสนับสนุนของ MS สำหรับการตอบสนองและการตอบสนองอย่างรวดเร็วในเรื่องนี้แม้จะเป็นวันส่งท้ายปีเก่าก็ตาม”

หากข้อมูลที่เปิดเผยอยู่ในมือที่ไม่ถูกต้อง มีความเป็นไปได้สูงที่ที่อยู่อีเมลของลูกค้าจะถูกใช้สำหรับ กลโกงการสนับสนุนด้านเทคนิค. หวังว่า Microsoft จะแจ้งเตือนลูกค้าให้ระมัดระวังในอีกไม่กี่เดือนข้างหน้า

บันทึก: Microsoft ยืนยันการรั่วไหลของข้อมูลและเปิดเผยว่าปัญหานี้เกิดขึ้นเนื่องจากการกำหนดค่าฐานข้อมูลการสนับสนุนลูกค้าภายในไม่ถูกต้องที่ใช้สำหรับการวิเคราะห์กรณีการสนับสนุนของ Microsoft Microsoft กล่าวว่ากำลังดำเนินการเพื่อป้องกันไม่ให้เกิดปัญหานี้ขึ้นในอนาคต การดำเนินการรวมถึง:

  • การตรวจสอบกฎความปลอดภัยเครือข่ายที่กำหนดไว้สำหรับทรัพยากรภายใน
  • การขยายขอบเขตของกลไกที่ตรวจพบการกำหนดค่าผิดกฎความปลอดภัย
  • การเพิ่มการแจ้งเตือนเพิ่มเติมให้กับทีมบริการเมื่อตรวจพบการกำหนดค่ากฎความปลอดภัยผิดพลาด
  • การใช้ระบบอัตโนมัติการโต้ตอบเพิ่มเติม

“น่าเสียดายที่การกำหนดค่าผิดพลาดเป็นข้อผิดพลาดทั่วไปในอุตสาหกรรม เรามีวิธีแก้ไขปัญหาเพื่อช่วยป้องกันข้อผิดพลาดประเภทนี้ แต่น่าเสียดาย ที่ไม่ได้เปิดใช้งานสำหรับฐานข้อมูลนี้ ตามที่เราได้เรียนรู้ เป็นการดีที่จะตรวจสอบการกำหนดค่าของคุณเองเป็นระยะ และให้แน่ใจว่าคุณได้ใช้ประโยชน์จากการป้องกันทั้งหมดที่มี” Microsoft เขียน

ที่มา: คอมพาริเทค ไมโครซอฟท์

ข้อมูลเพิ่มเติมเกี่ยวกับหัวข้อต่างๆ: ข้อมูลสนับสนุนลูกค้า, ข้อมูลเปิดเผย, ไมโครซอฟท์, ความปลอดภัย

ประทีป วิศวาว

ประทีป วิศวาว โล่

ผู้เชี่ยวชาญด้านซอฟต์แวร์และบริการ

ประทีพเป็นบัณฑิตสาขาวิทยาการคอมพิวเตอร์และวิศวกรรมศาสตร์ เขายังเป็นหุ้นส่วนนักศึกษาของ Microsoft อีกด้วย ปัจจุบันเขาทำงานในบริษัทไอทีชั้นนำ