Microsoft har ikke klart å beskytte 250 millioner kundesupportlogger
Det kan ikke se slik ut, men store teknologigiganter sitter aldri i ro. Noen ganger er endringene usynlige for millioner av brukere, men bak kulissene oppdaterer IT-selskaper kontinuerlig og finjusterer sine interne prosedyrer for å sikre en strømlinjeformet, jevn drift. Vi må imidlertid ikke glemme at implementering av mindre justeringer er en komplisert prosess, og at feil kan skje. Dessverre viste Microsoft oss i går at når ting går galt, er konsekvensene ofte ganske skremmende.
Det hele startet 28. desember 2019, da trusselintelligens-søkemotoren BinaryEdge indekserte en klynge av fem Elasticsearch-servere, som alle hadde en identisk samling på 250 millioner poster. I løpet av en dag oppdaget sikkerhetsforsker Bob Diachenko serverne og innså at de ikke var beskyttet av noen form for autentisering. Diachenko kom sammen med forskere fra Comparitech som hjalp ham med å komme frem til at databasen tilhørte Microsoft. Produsenten av verdens mest populære operativsystem ble varslet umiddelbart, og en dag senere var serverne allerede offline. Etter å ha sikret dataene startet Microsofts Security Response Team en etterforskning, og i går fortalte de alle hva som skjedde.
Microsoft lekket millioner av støttelogger
De 250 millioner postene var faktisk støttelogger datert mellom 2005 og desember 2019. Det er en enorm samling av data som spenner over en enorm tidsramme. Heldigvis vil menneskene som har måttet ty til Microsofts kundeserviceteam i løpet av denne perioden, gjerne høre at de fleste oppføringene ikke inneholdt personlig identifiserbar informasjon. Å be Microsoft om hjelp innebærer vanligvis å presentere e-postadressen din og, til tider, annen kontaktinformasjon, men den Redmond-baserte giganten har faktisk tenkt på kundenes personvern og har implementert mekanismer som automatisk redigerer personlig informasjon før de lagres på en server. Disse mekanismene er imidlertid ikke ufeilbarlige.
Informasjon lagt inn i et ikke anerkjent format vil omgå anonymiseringsprosedyren, noe som betyr at e-postadresser med mellomrom i dem, for eksempel, ikke ville bli redaktert. Microsofts sikkerhetseksperter sa at selv om de ikke har sett noen bevis for "ondsinnet bruk" av dataene, er de i ferd med å informere brukere som kan bli berørt.
At databasen utsatte lite personopplysninger er gode nyheter, men lekkasjen skal ikke undervurderes. I tillegg til den mest tilslørte personlige informasjonen, inneholdt Elasticsearch-serverne brukernes IP-adresser og posisjonsinformasjon, samt data relatert til status og karakter for støttesaker de har åpnet med Microsoft. E-postadressene til Microsofts supportagenter ble også lagret i ren tekst. Alt i alt var det nok informasjon til at en motivert hacker kunne sette i gang et målrettet angrep som kunne hatt ganske katastrofale konsekvenser.
Hvordan ble dataene eksponert, og hvordan håndterte Microsoft problemet?
Bob Diachenko var imponert over Microsofts Security Response Team og den raske reaksjonen i lys av at varselet ble sendt timer før nyttårsaften. OS-leverandøren fortjener også et klapp på baksiden for åpenheten som den beskrev hendelsene som førte til hendelsen.
5. desember gjorde Microsofts backend-team noen endringer i nettverkssikkerhetsgruppen som var vert for databasen, og klarte ikke å merke at det var en konfigurasjonsfeil i oppdateringen. I gårsdagens rapport påpekte Ann Johnson, konserndirektør for Microsofts Cybersecurity Solutions Group og Eric Doerr, daglig leder for Microsofts Security Response Center, at de har mekanismer på plass som vanligvis vil forhindre datalekkasjer forårsaket av denne typen feilkonfigurasjonsfeil. For denne spesifikke databasen ble de imidlertid ikke slått på.
Alt i alt var lekkasjen forårsaket av en uheldig hendelseskjede, og den lyktes til slutt ikke å forårsake noen større skader, noe som betyr at vi alle kan puste lettet ut. Vi må ikke undervurdere faren.
Microsoft sa at det er tatt en rekke forholdsregler for å sikre at dette ikke skjer igjen, og vi regner med at andre selskaper som behandler brukernes personopplysninger bør følge etter. Faktum er at informasjonslekkasjer forårsaket av feilkonfigurerte Elasticsearch-databaser blir en hverdagslig forekomst , og folk ser ikke ut til å legge merke til det. Dette er bekymringsfullt, mens Microsoft anonymiserer brukernes personlige informasjon (i det minste når det er lagt inn i brukerstøttesystemet), men andre gjør det ikke.
