Microsoft har misslyckats med att skydda 250 miljoner kundsupportloggar

Det kanske inte ser ut så, men stora tekniska jättar sitter aldrig stilla. Ibland är förändringarna osynliga för miljontals användare, men bakom kulisserna uppdaterar IT-företag ständigt och justerar sina interna rutiner för att säkerställa en strömlinjeformad, smidig drift. Vi får dock inte glömma att att implementera även mindre justeringar är en komplicerad process och att misstag kan hända. Tyvärr visade Microsoft oss igår att när saker och ting går fel är konsekvenserna ofta ganska skrämmande.

Det hela började den 28 december 2019, då hotmotorns sökmotor BinaryEdge indexerade ett kluster av fem Elasticsearch-servrar, som alla innehöll en identisk samling med 250 miljoner poster. Inom en dag upptäckte säkerhetsforskaren Bob Diachenko servrarna och insåg att de inte var skyddade av någon form av autentisering. Diachenko samarbetade med forskare från Comparitech som hjälpte honom att komma till slutsatsen att databasen tillhör Microsoft. Tillverkaren av världens mest populära operativsystem meddelades omedelbart, och en dag senare var servrarna redan offline. Efter att ha säkrat uppgifterna inledde Microsofts säkerhetsresponsgrupp en utredning och igår berättade de alla vad som hände.

Microsoft läckte miljoner supportloggar

De 250 miljoner postarna var faktiskt supportloggar daterade mellan 2005 och december 2019. Det är en enorm samling av data som sträcker sig över en enorm tidsram. Lyckligtvis kommer de människor som har varit tvungna att kontakta Microsofts kundtjänstteam under den perioden gärna veta att de flesta av posterna inte innehåller någon personlig identifierbar information. Att be Microsoft om hjälp innebär vanligtvis att du presenterar din e-postadress och ibland andra kontaktuppgifter, men den Redmond-baserade jätten har faktiskt tänkt på sina kunders integritet och har implementerat mekanismer som automatiskt redigerar personlig information innan de lagras på en server. Dessa mekanismer är dock inte ofelbara.

Information som anges i ett okänt format skulle förbigå anonymiseringsförfarandet, vilket innebär att e-postadresser med till exempel mellanslag inte skulle återinföras. Microsofts säkerhetsexperter sa att även om de inte har sett några bevis för "skadlig användning" av uppgifterna, är de på väg att informera användare som kan påverkas.

Det faktum att databasen exponerade lite personlig information är goda nyheter, men läckan bör inte underskattas. Förutom den mest dolda personliga informationen, innehöll Elasticsearch-servrarna användares IP-adresser och platsinformation, samt data relaterade till status och karaktär av supportärenden som de har öppnat med Microsoft. E-postadresserna till Microsofts supportagenter lagrades också i vanlig text. Sammantaget fanns det tillräckligt med information för en motiverad hackare att starta en riktad attack som kunde ha haft ganska katastrofala konsekvenser.

Hur slutade uppgifterna och hur hanterade Microsoft problemet?

Bob Diachenko var imponerad av Microsofts Security Response Team och den snabba reaktionen mot bakgrund av att meddelandet skickades timmar före nyårsafton. OS-leverantören förtjänar också en klapp på ryggen för den transparens som den beskrev händelserna fram till händelsen.

Den 5 december gjorde Microsofts backend-team några ändringar i nätverkssäkerhetsgruppen som var värd för databasen och kunde inte märka att det fanns ett konfigurationsfel i uppdateringen. I gårdagens rapport påpekade Ann Johnson, koncerndirektör för Microsofts Cybersecurity Solutions Group och Eric Doerr, chef för Microsofts säkerhetsresponscenter, att de har mekanismer på plats som vanligtvis skulle förhindra dataläckage orsakade av denna typ av felkonfigurationsfel. För den här databasen var de dock inte på.

Sammantaget orsakades läckan av en olycklig händelsekedja och det lyckades i slutändan inte orsaka någon större skada, vilket innebär att vi alla kan andas ett lättnads suck. Vi får dock inte underskatta faran.

Microsoft sa att det har vidtagits ett antal försiktighetsåtgärder för att säkerställa att detta inte händer igen, och vi räknar med att andra företag som behandlar användarnas personuppgifter bör följa efter. Faktum är att informationsläckor orsakade av felkonfigurerade Elasticsearch-databaser håller på att bli en vardaglig händelse, och folk verkar inte ta uppmärksamhet. Detta är oroande eftersom Microsoft inte anonymiserar användarnas personliga information (åtminstone när det anges i supportsystemet), men andra gör det inte.