Microsoft har ikke kunnet beskytte 250 millioner kundesupportlogfiler
Det ser måske ikke ud, men big tech-giganter sidder aldrig stille. Nogle gange er ændringerne usynlige for millioner af brugere, men bag kulisserne opdaterer IT-virksomheder konstant og finjusterer deres interne procedurer for at sikre en strømlinet, problemfri drift. Vi må dog ikke glemme, at implementering af selv mindre justeringer er en kompliceret proces, og at der kan ske fejl. Desværre viste Microsoft os i går, at når ting går galt, er konsekvenserne ofte ret skræmmende.
Det hele begyndte den 28. december 2019, da trusselssikkerheds-søgemaskine BinaryEdge indekserede en klynge af fem Elasticsearch-servere, som alle havde en identisk samling på 250 millioner poster. Inden for en dag opdagede sikkerhedsforsker Bob Diachenko serverne og indså, at de ikke var beskyttet af nogen form for godkendelse. Diachenko samarbejdede med forskere fra Comparitech, der hjalp ham med at komme til den konklusion, at databasen tilhørte Microsoft. Producenten af verdens mest populære operativsystem blev straks underrettet, og en dag senere var serverne allerede offline. Efter at have sikret dataene startede Microsofts Security Response Team en undersøgelse, og i går fortalte de alle, hvad der skete.
Microsoft lækkede millioner af supportlogfiler
De 250 millioner poster var faktisk supportlogfiler dateret mellem 2005 og december 2019. Det er en enorm samling af data, der spænder over en enorm tidsramme. Heldigvis vil de mennesker, der har været nødt til at ty til Microsofts kundeserviceteam i denne periode, være glade for at høre, at de fleste af posterne ikke indeholdt nogen personlig identificerbar information. At bede Microsoft om hjælp involverer normalt at præsentere din e-mail-adresse og til tider andre kontaktoplysninger, men den Redmond-baserede gigant har faktisk tænkt på sine kunders privatliv og har implementeret mekanismer, der automatisk redakterer personlige oplysninger, før de opbevares på en server. Disse mekanismer er dog ikke ufejlbarlige.
Oplysninger, der er indtastet i et ikke-anerkendt format, vil omgå anonymiseringsproceduren, hvilket betyder, at e-mail-adresser med mellemrum i dem, for eksempel, ikke ville blive redakteret. Microsofts sikkerhedseksperter sagde, at selv om de ikke har set noget bevis for "ondsindet brug" af dataene, er de i færd med at informere brugere, der kan blive påvirket.
At databasen udsatte lidt personlige data er gode nyheder, men lækagen bør ikke undervurderes. Ud over de mest tilsløret personlige oplysninger indeholdt Elasticsearch-serverne brugernes IP-adresser og lokaliseringsoplysninger samt data relateret til status og karakter af de supportsager, de har åbnet med Microsoft. E-mail-adresserne til Microsoft supportagenter blev også gemt i almindelig tekst. Alt i alt var der tilstrækkelig information til, at en motiveret hacker kunne starte et målrettet angreb, der kunne have haft ret katastrofale følger.
Hvordan blev dataene eksponeret, og hvordan håndterede Microsoft problemet?
Bob Diachenko var imponeret over Microsofts Security Response Team og den hurtige reaktion i lyset af, at underretningen blev sendt timer før nytårsaften. OS-leverandøren fortjener også en klap på bagsiden for den gennemsigtighed, som den beskrev begivenhederne, der førte til hændelsen.
Den 5. december foretog Microsofts backend-team nogle ændringer i den netværkssikkerhedsgruppe, der var vært for databasen, og kunne ikke bemærke, at der var en konfigurationsfejl i opdateringen. I gårsdagens rapport påpegede Ann Johnson, koncerndirektør for Microsofts Cybersecurity Solutions Group og Eric Doerr, general manager for Microsofts Security Response Center, at de har mekanismer på plads, som normalt ville forhindre datalækager forårsaget af denne form for fejlkonfigurationsfejl. For denne specifikke database blev de imidlertid ikke tændt.
Alt i alt var lækagen forårsaget af en uheldig kæde af begivenheder, og det lykkedes i sidste ende at forårsage nogen større skade, hvilket betyder, at vi alle kan indånde et lettelsens sukk. Vi må dog ikke undervurdere faren.
Microsoft sagde, at der er truffet en række forholdsregler for at sikre, at dette ikke sker igen, og vi regner med, at andre virksomheder, der behandler brugernes personlige data, skal følge efter. Faktum er, at informationslækager forårsaget af forkert konfigurerede Elasticsearch-databaser er ved at blive en dagligdags begivenhed, og det ser ud til, at folk ikke lægger mærke til det. Dette er foruroligende, mens selv om Microsoft anonymiserer brugernes personlige oplysninger (i det mindste når de er indtastet i supportsystemet), gør andre ikke det.
