微软不小心在网上暴露了 250 亿条客户支持记录

今天的一份新报告显示，微软不小心在网上暴露了 250 亿条客户服务和支持记录。 泄露的数据包括 2005 年至 2019 年 XNUMX 月期间记录的微软支持代理和客户之间的对话。在收到有关泄露的信息后，微软现在已经从公众那里保护了这些数据。 一件好事是，个人身份信息在泄露的数据中被编辑了。

泄露的数据包含以下信息：

• 客户电子邮件地址
• IP地址
• 我们的位置
• CSS 声明和案例的描述
• Microsoft 支持代理电子邮件
• 案例编号、解决方案和备注
• 标记为“机密”的内部注释

重要的是要注意，任何人都可以访问数据，而无需任何身份验证。 数据最早是在 29 月 30 日发现的，微软在 24 月 XNUMX 日采取了行动。 微软在 XNUMX 小时内解决了这个问题！

Comparitech 安全研究团队的 Bob Diachenko 说：“我立即向 Microsoft 报告了这一情况，并在 24 小时内保护了所有服务器。” “尽管在新年前夜，我仍对 MS 支持团队的响应能力和快速周转表示赞赏。”

如果暴露的数据已经落入坏人之手，客户电子邮件地址很有可能被用于 技术支持诈骗. 希望微软将在未来几个月提醒其客户小心。

更新：Microsoft 确认了此数据泄漏，并透露此问题是由于用于 Microsoft 支持案例分析的内部客户支持数据库配置错误造成的。 微软提到它正在采取措施防止未来再次发生此问题。 行动包括：

• 审核已建立的内部资源网络安全规则。
• 扩大检测安全规则错误配置的机制的范围。
• 当检测到安全规则配置错误时，向服务团队添加额外的警报。
• 实施额外的编校自动化。

“不幸的是，错误配置是整个行业的常见错误。 我们有解决方案来帮助防止这种错误，但不幸的是，它们没有为这个数据库启用。 正如我们所了解到的，定期检查您自己的配置并确保您利用所有可用的保护措施是一件好事”，微软写道。

Sumber: 比较技术。 微软