A Microsoft nem tudta megvédeni 250 millió ügyfél-támogatási naplót

Lehet, hogy nem néz ki, de a nagy tech-óriások soha nem ülnek nyugodtan. Időnként a változások a felhasználók milliói számára láthatatlanok, de a színfalak mögött az informatikai vállalatok folyamatosan frissítik és módosítják belső eljárásaikat, hogy biztosítsák az ésszerű, zökkenőmentes működést. Nem szabad azonban elfelejtenünk, hogy a kisebb módosítások végrehajtása is bonyolult folyamat, és hibák is előfordulhatnak. Sajnos a Microsoft tegnap megmutatta nekünk, hogy amikor a dolgok rosszul mennek, a következmények gyakran nagyon félelmetesek.

Az egész 2019. december 28-án kezdődött, amikor a BinaryEdge fenyegetés-intelligencia keresőmotor öt Elasticsearch szerver fürtöt indexelt, amelyek mindegyike azonos, 250 millió rekordot tárolt. Egy napon belül Bob Diachenko biztonsági kutató fedezte fel a kiszolgálókat és rájött, hogy ezeket semmilyen hitelesítés nem védi. Diachenko összefogott a Comparitech kutatóival, akik segítettek abban a következtetésben, hogy az adatbázis a Microsofthoz tartozik. A világ legnépszerűbb operációs rendszer gyártóját azonnal értesítették, és egy nappal később a szerverek már offline állapotban voltak. Az adatok védelme után a Microsoft biztonsági reagáló csoportja vizsgálatot indított, és tegnap mindenkinek elmondta, mi történt.

A Microsoft millió millió támogatási naplót szivárogtatott fel

A 250 millió rekord valójában támogatási naplók volt, amelyek 2005 és 2019 december között készültek. Ez egy hatalmas adatgyűjtemény, amely hatalmas időkeretet fed le. Szerencsére azok az emberek, akiknek ezen időszak alatt a Microsoft ügyfélszolgálatának kellett igénybe venniük, örömmel veszik tudomásul, hogy a bejegyzések nagy része nem tartalmazott személyes azonosítást. A Microsoft segítségének felkérése általában magában foglalja az e-mail cím és esetenként más elérhetőségek bemutatását, ám a Redmond-i óriás valóban az ügyfelek magánéletére gondolt, és olyan mechanizmusokat hajtott végre, amelyek automatikusan eltávolítják a személyes információkat, mielőtt azokat kiszolgálón tárolnák. Ezek a mechanizmusok azonban nem tévedhetetlenek.

Az ismeretlen formátumban bevitt információk megkerülnék az anonimizálási eljárást, ami azt jelenti, hogy például az e-mail címeket, amelyekben benne van a szóköz, nem szerkesztik. A Microsoft biztonsági szakértői szerint bár nem láttak bizonyítékot az adatok "rosszindulatú felhasználására", jelenleg folyamatban vannak a felhasználók tájékoztatása, amelyet ezek érinthetnek.

Jó hír az a tény, hogy az adatbázis kevés személyes adatot fed fel, de a szivárgást nem szabad alábecsülni. Az Elasticsearch szerverek a leginkább elmosódott személyes információk mellett a felhasználók IP-címét és helymeghatározási adatait, valamint a Microsoft által megnyitott támogatási esetek állapotával és természetével kapcsolatos adatokat is tartalmaztak. A Microsoft támogatási ügynökeinek e-mail címét sima szövegben is tárolták. Összességében elegendő információ állt rendelkezésre egy motivált hacker számára egy célzott támadás indításához, amelynek elég katasztrofális következményei lehetett volna.

Az adatok végül hogyan voltak kitéve, és hogyan kezeli a Microsoft a problémát?

Bob Diachenko lenyűgözte a Microsoft biztonsági reagáló csoportját és a gyors reakciót, tekintettel arra a tényre, hogy az értesítést néhány évvel ezelőtt újév előtt küldték el. Az operációs rendszer szállítója megérdemel egy javítást a hátoldalán az átláthatósággal, amellyel leírta az eseményhez vezető eseményeket.

December 5-én a Microsoft háttércsoportja néhány változtatást végzett az adatbázist üzemeltető hálózati biztonsági csoportban, és nem vette észre, hogy konfigurációs hiba történt a frissítés során. A tegnapi jelentésben Ann Johnson, a Microsoft kiberbiztonsági megoldások csoportjának alelnöke és Eric Doerr, a Microsoft Biztonsági Reagálási Központ vezérigazgatója rámutatott, hogy rendelkeznek olyan mechanizmusokkal, amelyek általában megakadályozzák az ilyenfajta téves konfigurációs hiba okozta adatszivárogtatást. Ebben az adatbázisban azonban nem voltak bekapcsolva.

Összességében a szivárgást egy szerencsétlen eseménylánc okozta, és végül nem okozott komoly károkat, ami azt jelenti, hogy mindannyian megkönnyebbülést sóhajthatunk. Nem szabad alábecsülnünk a veszélyt.

A Microsoft kijelentette, hogy számos óvintézkedést megtett annak biztosítása érdekében, hogy ez nem ismétlődik meg, és úgy gondoljuk, hogy más, a felhasználók személyes adatait feldolgozó cégeknek követniük kell a példát. A helyzet az, hogy a tévesen konfigurált Elasticsearch adatbázisok által okozott információszivárgások mindennapi eseményekké válnak, és úgy tűnik, hogy az emberek nem veszik észre. Ez aggasztó, mert míg a Microsoft anonimizálja a felhasználók személyes adatait (legalábbis amikor bekerül a támogatási rendszerbe), mások nem ezt teszik.