Пока большинство людей праздновали Новый год, команды безопасности Microsoft работали сверхурочно, чтобы закрыть огромную «дыру» в системе безопасности.
Причиной стала ошибка в базе данных, которая предоставила доступ к 250 миллионам записей об обслуживании клиентов и поддержке любому, у кого есть веб-браузер.
Исследователь безопасности Боб Дьяченко из компании Comparitech обнаружил уязвимость 29 декабря. Компания Microsoft отреагировала очень быстро, оперативно исправив проблему за пару дней. Уязвимость была вызвана «неправильной настройкой» одной из внутренних баз данных клиентской поддержки. Компания утверждает, что не нашла доказательств «вредоносного использования».
Сервер, к которому неожиданно открылся доступ, включал в себя журналы разговоров между сотрудниками службы поддержки Microsoft и клиентами со всего мира за 2005 год. По данным Comparitech, база данных не была защищена паролем, а некоторая информация, такая как электронная почта и IP-адреса, хранилась открытым текстом.Если бы злоумышленники смогли получить доступ к журналам, они бы смогли выдать себя за сотрудников службы поддержки компании, используя полученные возможности для фишинга и других схем мошенничества.
Компания Microsoft заявила, что планирует провести аудит своих правил внутренней безопасности, а также внедрить дополнительные инструменты для автоматического редактирования конфиденциальной информации пользователей.
Это новость от журнала ММ «Машины и механизмы». Не знаете такого? Приглашаем прямо сейчас познакомиться с этим удивительным журналом.