Microsoft
A Microsoft acidentalmente expôs 250 milhões de registros de atendimento ao cliente e suporte online. O vazamento de dados inadvertido ocorreu devido à “configuração incorreta” de um banco de dados que a empresa usava para manter as informações de suporte ao cliente. A Microsoft reconheceu oficialmente o vazamento de dados e tomou medidas para impedir o mesmo. No entanto, a resposta da empresa à exposição de informações importantes e provavelmente confidenciais de milhões de clientes da Microsoft levanta algumas questões sérias sobre integridade e proteção de dados.
Depois que um relatório apareceu alegando que a Microsoft expôs dados de cerca de 250 milhões de seus clientes, a empresa confirmou o mesmo. A empresa indicou que o banco de dados não foi configurado corretamente para se proteger dessa exposição massiva de dados. Os dados vazados abrangem mais de 14 anos e contêm vários fragmentos de informações sobre os clientes e suas interações com a Microsoft. A empresa desde então protegeu o banco de dados e confirmou que ele nunca continha informações de identificação pessoal.
A Microsoft expõe acidentalmente 250 milhões de registros de atendimento ao cliente e suporte on-line e culpa configuração deficiente:
Os dados vazados incluíram conversas entre agentes de suporte da Microsoft e clientes que foram gravadas de 2005 a dezembro de 2019. Essencialmente, a Microsoft deixou os dados sem segurança. Em outras palavras, a empresa deixou o dados abertos e acessíveis a qualquer pessoa . Esses bancos de dados 'inseguros' são surpreendentemente comuns . Em termos simples, os bancos de dados não são fáceis de localizar ou pesquisar. No entanto, como não são protegidos por senhas e criptografia, qualquer pessoa pode acessá-los.
Banco de dados desprotegido expõe 250 milhões #Microsoft Registros de suporte ao cliente online
Consulte Mais informação: https://t.co/JOACrkg7Sc #infosec #cíber segurança
- Mohit Kumar (@unix_root) 22 de janeiro de 2020
Os dados expostos e não protegidos foram descobertos em 29 de dezembro e, depois de ser alertada sobre o mesmo, a Microsoft tomou medidas corretivas em um dia, indicou Bob Diachenko, da equipe de pesquisa de segurança da Comparitech. “Comuniquei isso imediatamente à Microsoft e em 24 horas todos os servidores estavam protegidos. Eu aplaudo a equipe de suporte MS pela capacidade de resposta e resposta rápida nisso, apesar da véspera de Ano Novo. ”
Os dados vazados continham as seguintes informações:
- Endereços de email do cliente
- Endereços IP
- Localizações
- Descrições de casos e reivindicações CSS
- Emails do agente de suporte da Microsoft
- Números de casos, resoluções e observações
- Notas internas marcadas como “confidenciais”
Bancos de dados de clientes expostos são altamente perigosos a longo prazo, indicam os especialistas:
É bem provável que a Microsoft emita alguma forma de alerta aos clientes que fizeram parte do banco de dados exposto. No entanto, os dados em mãos erradas são muito valiosos. Isso ocorre porque os dados podem ser facilmente usados para lançar golpes de suporte técnico. Como os dados de suporte ao cliente incluem informações confidenciais que apenas a Microsoft deve saber, as vítimas podem ser facilmente convencidas e enganadas. A Microsoft confirmou que tomará as seguintes medidas para evitar ocorrências futuras desse problema:
- Auditar as regras de segurança de rede estabelecidas para recursos internos.
- Expandir o escopo dos mecanismos que detectam configurações incorretas de regras de segurança.
- Adicionar alertas adicionais para equipes de serviço quando configurações incorretas de regras de segurança são detectadas.
- Implementando automação de edição adicional.
NOVO: Microsoft divulga violação de segurança do banco de dados de suporte ao cliente
* Regras do Azure mal configuradas expõem 5 servidores Elasticsearch
* Os servidores armazenaram dados analíticos de suporte ao cliente
* A Microsoft disse que os dados eram anônimos
* Cronograma de vazamento: 5 de dezembro -> 31 de dezembro https://t.co/WJfdiyAwn7 pic.twitter.com/HVG7WqKKxf- Catalin Cimpanu (@campuscodi) 22 de janeiro de 2020
Houve vários relatórios sobre esses bancos de dados expostos. O erro mais comum entre empresas de tecnologia é deixar o banco de dados inseguro ou sem a proteção de senha adequada. Esses bancos de dados não são facilmente acessíveis. No entanto, muitos criadores de códigos maliciosos e hackers executar programas rotineiramente que são projetados para fareje bancos de dados desprotegidos ou expostos . Há foram alguns casos em que os hackers detêm o resgate de dados ou apenas descartou informações valiosas que é então vendido na Dark Web.
Tag Microsoft
