Дыра в безопасности базы данных Microsoft могла привести к утечке данных 250 миллионов человек
Причиной стала ошибка в базе данных, которая предоставила доступ к 250 миллионам записей об обслуживании клиентов и поддержке любому, у кого есть веб-браузер.
Исследователь безопасности Боб Дьяченко из компании Comparitech обнаружил уязвимость 29 декабря. Компания Microsoft отреагировала очень быстро, оперативно исправив проблему за пару дней. Уязвимость была вызвана «неправильной настройкой» одной из внутренних баз данных клиентской поддержки. Компания утверждает, что не нашла доказательств «вредоносного использования».
Сервер, к которому неожиданно открылся доступ, включал в себя журналы разговоров между сотрудниками службы поддержки Microsoft и клиентами со всего мира за 2005 год. По данным Comparitech, база данных не была защищена паролем, а некоторая информация, такая как электронная почта и IP-адреса, хранилась открытым текстом.Если бы злоумышленники смогли получить доступ к журналам, они бы смогли выдать себя за сотрудников службы поддержки компании, используя полученные возможности для фишинга и других схем мошенничества.
Компания Microsoft заявила, что планирует провести аудит своих правил внутренней безопасности, а также внедрить дополнительные инструменты для автоматического редактирования конфиденциальной информации пользователей.
Это уже второй серьезный инцидент, поставивший под угрозу безопасность данных, связанный с системой поддержки пользователей Microsoft. В апреле 2019 года компания сообщила о том, что хакеры использовали учетные данные представителя службы поддержки клиентов для взлома почтовых учетных записей некоторых пользователей.
Фото: Microsoft
Технологии
Вячеслав Ларионов