Microsoft nie ochronił 250 milionów dzienników obsługi klienta

Może tak nie wygląda, ale wielcy giganci technologiczni nigdy nie siedzą w miejscu. Czasami zmiany są niewidoczne dla milionów użytkowników, ale za kulisami firmy IT stale aktualizują i modyfikują swoje wewnętrzne procedury, aby zapewnić sprawną i płynną pracę. Nie możemy jednak zapominać, że wdrożenie nawet drobnych poprawek jest skomplikowanym procesem i mogą się zdarzyć błędy. Niestety, Microsoft pokazał nam wczoraj, że gdy coś pójdzie nie tak, konsekwencje są często przerażające.

Wszystko zaczęło się 28 grudnia 2019 r., Kiedy wyszukiwarka analizy zagrożeń BinaryEdge zaindeksowała klaster pięciu serwerów Elasticsearch, z których każdy posiadał identyczną kolekcję 250 milionów rekordów. W ciągu jednego dnia badacz bezpieczeństwa Bob Diachenko odkrył serwery i zdał sobie sprawę, że nie są chronione żadną formą uwierzytelnienia. Diachenko połączył siły z naukowcami z Comparitech, którzy pomogli mu dojść do wniosku, że baza danych należy do Microsoftu. Producent najpopularniejszego systemu operacyjnego na świecie został natychmiast powiadomiony, a dzień później serwery były już w trybie offline. Po zabezpieczeniu danych zespół Microsoft Security Response Team rozpoczął dochodzenie, a wczoraj powiedział wszystkim, co się stało.

Microsoft ujawnił miliony dzienników pomocy technicznej

250 milionów rekordów było w rzeczywistości dziennikami wsparcia datowanymi na okres od 2005 r. Do grudnia 2019 r. To ogromna kolekcja danych obejmująca ogromne ramy czasowe. Na szczęście ludzie, którzy w tym okresie musieli skorzystać z zespołu obsługi klienta Microsoft, z przyjemnością dowiedzą się, że większość wpisów nie zawierała danych osobowych. Poproszenie Microsoft o pomoc zwykle wiąże się z przedstawieniem twojego adresu e-mail i czasami innych danych kontaktowych, ale gigant z Redmond faktycznie myślał o prywatności swoich klientów i wdrożył mechanizmy, które automatycznie redagują dane osobowe przed przechowywaniem ich na serwerze. Te mechanizmy nie są jednak niezawodne.

Informacje wprowadzone w nierozpoznanym formacie pominą procedurę anonimizacji, co oznacza, że na przykład adresy e-mail ze spacjami nie zostaną zredagowane. Eksperci Microsoft ds. Bezpieczeństwa powiedzieli, że chociaż nie widzieli dowodów na „złośliwe wykorzystanie” danych, są w trakcie informowania użytkowników, na których może to mieć wpływ.

Fakt, że baza danych ujawnia niewiele danych osobowych, to dobra wiadomość, ale przeciek nie należy lekceważyć. Oprócz głównie zaciemnionych danych osobowych, serwery Elasticsearch zawierały adresy IP użytkowników i informacje o lokalizacji, a także dane związane ze statusem i charakterem spraw wsparcia otwartych przez Microsoft. Adresy e-mail agentów wsparcia Microsoft również były przechowywane w postaci zwykłego tekstu. Podsumowując, było wystarczająco dużo informacji, aby zmotywowany haker mógł przeprowadzić ukierunkowany atak, który mógł mieć katastrofalne konsekwencje.

Jak ujawniono dane i jak Microsoft poradził sobie z tym problemem?

Bob Diachenko był pod wrażeniem zespołu Microsoft Security Response Team i szybkiej reakcji w świetle faktu, że powiadomienie zostało wysłane na kilka godzin przed sylwestrem. Producent systemu operacyjnego również zasługuje na poklepanie z tyłu za przejrzystość, z jaką opisał wydarzenia prowadzące do incydentu.

5 grudnia zespół zaplecza Microsoftu dokonał pewnych zmian w grupie bezpieczeństwa sieci, która hostowała bazę danych i nie zauważył, że w aktualizacji wystąpił błąd konfiguracji. W wczorajszym raporcie Ann Johnson, wiceprezes korporacyjny Microsoft Cybersecurity Solutions Group i Eric Doerr, dyrektor generalny Microsoft Security Response Center, zauważyli, że dysponują mechanizmami, które zwykle zapobiegałyby wyciekom danych spowodowanym tego rodzaju błędnym błędem konfiguracji. W przypadku tej konkretnej bazy danych nie zostały one jednak włączone.

Podsumowując, wyciek został spowodowany niefortunnym ciągiem zdarzeń i ostatecznie nie spowodował żadnych poważnych szkód, co oznacza, że wszyscy możemy odetchnąć z ulgą. Nie możemy jednak nie doceniać niebezpieczeństwa.

Microsoft powiedział, że podjęto szereg środków ostrożności, aby upewnić się, że to się więcej nie powtórzy, i uważamy, że inne firmy przetwarzające dane osobowe użytkowników powinny pójść w ich ślady. Faktem jest, że wycieki informacji spowodowane przez źle skonfigurowane bazy danych Elasticsearch stają się codziennością, a ludzie wydają się tego nie zauważać. Jest to niepokojące, ponieważ podczas gdy Microsoft anonimizuje dane osobowe użytkowników (przynajmniej po ich wprowadzeniu do systemu wsparcia), inni tego nie robią.