„Microsoft“ nepavyko apsaugoti 250 milijonų klientų aptarnavimo žurnalų

Tai gali neatrodyti, bet dideli technikos gigantai niekada nesėdi ramiai. Kartais pakeitimai yra nepastebimi milijonams vartotojų, tačiau užkulisiuose IT bendrovės nuolat atnaujina ir tobulina savo vidines procedūras, kad užtikrintų supaprastintą ir sklandų darbą. Tačiau neturime pamiršti, kad net ir nedidelių pataisų įgyvendinimas yra sudėtingas procesas ir gali įvykti klaidų. Deja, „Microsoft“ vakar mums parodė, kad kai viskas klostosi blogai, pasekmės dažnai būna gana bauginančios.

Viskas prasidėjo 2019 m. Gruodžio 28 d., Kai grėsmės žvalgybos paieškos variklis „BinaryEdge“ indeksavo penkių „Elasticsearch“ serverių grupę, kurios visos turėjo identišką 250 milijonų įrašų kolekciją. Per dieną saugumo tyrinėtojas Bobas Diachenko atrado serverius ir suprato, kad jų neapsaugo jokia autentifikavimo forma. Diachenko kartu su „Comparitech“ tyrėjais padėjo jam padaryti išvadą, kad duomenų bazė priklauso „Microsoft“. Apie populiariausios pasaulyje operacinės sistemos gamintoją buvo pranešta nedelsiant, o po dienos serveriai jau buvo neprisijungę. Apsaugoję duomenis, „Microsoft“ saugos atsako komanda pradėjo tyrimą, o vakar visiems papasakojo, kas nutiko.

„Microsoft“ nutekino milijonus palaikymo žurnalų

250 milijonų įrašų iš tikrųjų buvo palaikymo žurnalai, datuoti nuo 2005 m. Iki 2019 m. Gruodžio mėn. Tai didžiulis duomenų rinkinys, apimantis didžiulį laiko tarpą. Laimei, žmonės, kuriems tuo laikotarpiu teko kreiptis į „Microsoft“ klientų aptarnavimo komandą, mielai sužinos, kad daugumoje įrašų nebuvo asmeniškai identifikuojamos informacijos. Paprašius „Microsoft“ pagalbos, paprastai reikia pateikti jūsų el. Pašto adresą ir, kartais, ir kitus kontaktinius duomenis, tačiau Redmonde įsikūręs milžinas iš tikrųjų galvojo apie savo klientų privatumą ir įdiegė mechanizmus, kurie prieš išsaugodami serverį automatiškai ištrina asmeninę informaciją. Tačiau šie mechanizmai nėra neklystantys.

Informacija, įvesta neatpažinta forma, apeitų anonimiškumo procedūrą, o tai reiškia, kad, pavyzdžiui, el. Pašto adresai su tarpais juose nebus taisomi. „Microsoft“ saugumo ekspertai teigė, kad nors jie nematė duomenų apie „piktybinį naudojimą“, jie informuoja vartotojus, kuriems tai gali būti padaryta įtaka.

Tai, kad duomenų bazėje buvo mažai asmeninių duomenų, yra gera žinia, tačiau nuotėkio nereikėtų nuvertinti. Be dažniausiai užmaskuotos asmeninės informacijos, „Elasticsearch“ serveriuose buvo ir vartotojų IP adresai bei buvimo vietos informacija, taip pat duomenys, susiję su palaikymo atvejų, kuriuos jie atidarė „Microsoft“, būsena ir pobūdžiu. „Microsoft“ palaikymo agentų el. Pašto adresai taip pat buvo saugomi paprastu tekstu. Apskritai, motyvuotam įsilaužėliui buvo pakankamai informacijos, kad būtų galima pradėti tikslinę ataką, kuri galėjo turėti gana pražūtingų padarinių.

Kaip duomenys buvo paviešinti ir kaip „Microsoft“ sutvarkė problemą?

Bobas Diachenko buvo sužavėtas „Microsoft“ saugos reagavimo komandos ir greito reagavimo, atsižvelgiant į tai, kad pranešimas buvo išsiųstas likus kelioms valandoms iki Naujųjų metų vakaro. OS tiekėjas taip pat nusipelno pataisos užpakalinėje dalyje dėl skaidrumo, kuriuo aprašė įvykius, vedančius į incidentą.

Gruodžio 5 d. „Microsoft“ užduočių komanda padarė keletą pakeitimų tinklo saugos grupėje, kurioje buvo duomenų bazė, ir nepastebėjo, kad atnaujinant įvyko konfigūracijos klaida. Vakar paskelbtame pranešime Ann Johnson, „Microsoft“ kibernetinio saugumo sprendimų grupės viceprezidentė ir Ericas Doerras, „Microsoft“ saugos reagavimo centro generalinis direktorius, atkreipė dėmesį, kad jie turi įdiegtus mechanizmus, kurie paprastai užkerta kelią duomenų nutekėjimui, atsirandančiam dėl tokio pobūdžio netinkamos konfigūracijos klaidų. Tačiau šioje konkrečioje duomenų bazėje jie nebuvo įjungti.

Apskritai, nutekėjimą sukėlė nelaiminga įvykių grandinė, kuri galiausiai nepadarė jokios didelės žalos, o tai reiškia, kad visi galime atsikvėpti. Vis dėlto neturime nuvertinti pavojaus.

„Microsoft“ teigė, kad imtasi daugybės atsargumo priemonių, kad tai nepasikartotų, ir mes manome, kad kitos įmonės, tvarkančios vartotojų asmeninius duomenis, turėtų sekti pavyzdžiu. Faktas yra tas, kad informacijos nutekėjimas, kurį sukelia netinkamai sukonfigūruotos Elasticsearch duomenų bazės, tampa kasdieniu reiškiniu, ir žmonės, atrodo, nepastebi. Tai kelia nerimą, nes, nors „Microsoft“ anoniminuoja vartotojų asmeninę informaciją (bent jau tada, kai ji patenka į palaikymo sistemą), kiti to nedaro.