Microsoft не смогла защитить 250 миллионов журналов поддержки клиентов

Это может не выглядеть, но крупные технологические гиганты никогда не сидят на месте. Иногда изменения незаметны для миллионов пользователей, но за кулисами ИТ-компании постоянно обновляют и настраивают свои внутренние процедуры, чтобы обеспечить упорядоченную и бесперебойную работу. Однако мы не должны забывать, что реализация даже незначительных настроек - сложный процесс, и могут возникнуть ошибки. К сожалению, вчера Microsoft показала нам, что когда дела идут плохо, последствия часто бывают ужасающими.

Все началось 28 декабря 2019 года, когда поисковая система анализа угроз BinaryEdge проиндексировала кластер из пяти серверов Elasticsearch, каждый из которых содержал идентичную коллекцию из 250 миллионов записей. В течение дня исследователь безопасности Боб Дьяченко обнаружил серверы и понял, что они не защищены какой-либо формой аутентификации. Дьяченко объединился с исследователями из Comparitech, которые помогли ему прийти к выводу, что база данных принадлежит Microsoft. Производитель самой популярной в мире операционной системы был немедленно уведомлен, а через день серверы уже были отключены. После защиты данных команда Microsoft Security Response Team начала расследование, и вчера они рассказали всем, что произошло.

Microsoft пропустила миллионы журналов поддержки

250 миллионов записей фактически были журналами поддержки, датированными между 2005 и декабрем 2019 года. Это обширная коллекция данных, охватывающая огромные временные рамки. К счастью, люди, которым приходилось обращаться за помощью в службу поддержки клиентов Microsoft в течение этого периода, будут рады узнать, что большинство записей не содержало информации, позволяющей установить личность. Обращение за помощью к Microsoft обычно включает представление вашего адреса электронной почты и, в некоторых случаях, других контактных данных, но гигант из Редмонда на самом деле задумался о конфиденциальности своих клиентов и внедрил механизмы, которые автоматически редактируют личную информацию перед ее сохранением на сервере. Эти механизмы не являются безошибочными, хотя.

Информация, введенная в нераспознанном формате, будет обходить процедуру анонимизации, что означает, что адреса электронной почты с пробелами в них, например, не будут отредактированы. Эксперты Microsoft по безопасности заявили, что, хотя они не видели доказательств «злонамеренного использования» данных, они находятся в процессе информирования пользователей, которые могут быть затронуты.

Тот факт, что база данных содержит мало личных данных, является хорошей новостью, но утечку не следует недооценивать. В дополнение к большей части запутанной личной информации серверы Elasticsearch содержали IP-адреса пользователей и информацию о местонахождении, а также данные, относящиеся к состоянию и характеру обращений в службу поддержки, которые они открыли в Microsoft. Адреса электронной почты агентов поддержки Microsoft также были сохранены в виде простого текста. В общем, у мотивированного хакера было достаточно информации, чтобы начать целевую атаку, которая могла иметь довольно катастрофические последствия.

Как данные оказались в конечном итоге, и как Microsoft справилась с этой проблемой?

Боб Дьяченко был впечатлен командой реагирования безопасности Microsoft и быстрой реакцией в свете того факта, что уведомление было отправлено за несколько часов до Нового года. Поставщик ОС также заслуживает похвалы за прозрачность, с которой он описывает события, приведшие к инциденту.

5 декабря бэкэнд-команда Microsoft внесла некоторые изменения в группу сетевой безопасности, которая размещала базу данных, и не заметила, что в обновлении произошла ошибка конфигурации. Во вчерашнем отчете Энн Джонсон, корпоративный вице-президент Microsoft Cybersecurity Solutions Group и Эрик Доерр, генеральный директор Microsoft Security Response Center, указали, что у них есть механизмы, которые обычно предотвращают утечку данных, вызванную ошибками неправильной конфигурации. Однако для этой конкретной базы данных они не были включены.

В общем, утечка была вызвана неудачной цепью событий, и в конечном итоге она не нанесла серьезного ущерба, что означает, что мы все можем вздохнуть с облегчением. Мы не должны недооценивать опасность.

Microsoft заявила, что предпринял ряд мер предосторожности, чтобы это больше не повторилось, и мы считаем, что другие компании, обрабатывающие личные данные пользователей, должны последовать их примеру. Дело в том, что утечки информации, вызванные неверно сконфигурированными базами данных Elasticsearch, становятся обычным явлением, и люди, кажется, не обращают на это внимания. Это беспокоит, потому что, хотя Microsoft анонимизирует личную информацию пользователей (по крайней мере, когда она вводится в систему поддержки), другие этого не делают.