Microsoft, bazıları kişisel olarak tanımlanabilir bilgiler içeren yaklaşık 250 milyon müşteri desteği ve hizmet kaydının yanlışlıkla ifşa edilmesine yol açan, yanlış yapılandırılmış bir dahili müşteri destek veritabanının neden olduğu bir güvenlik ihlalini açıkladı.
Microsoft , bugün yayınlanan bir blog gönderisinde , “Araştırmamız 5 Aralık 2019’da veritabanının ağ güvenliği grubunda yapılan bir değişikliğin verilerin yapılandırılmasını sağlayan yanlış yapılandırılmış güvenlik kuralları içerdiğini belirledi.” dedi .
“Sorunun bildirilmesi üzerine mühendisler, veritabanını kısıtlamak ve yetkisiz erişimi önlemek için yapılandırmayı 31 Aralık 2019’da düzeltti.”
Çoğu kayıt otomatik olarak anonimleştirilir
Microsoft, açıkta kalan kayıt sayısı, korumasız bırakılan veritabanı türü veya açıkta bırakılan kişisel bilgilerin türü gibi ayrıntılara girmedi.
Veri ihlalini keşfeden ve Microsoft’a bildiren Siber Tehdit İstihbarat Direktörü Bob Diachenko, 250 milyon müşteri destek ve servis kaydının beş özdeş Elastik veri tabanı kümesinde depolandığını söyledi.
Microsoft sunucuları güvenli hale getirmeden önce veriler yaklaşık iki gün boyunca Internet’te sızıntıya maruz kaldı. Veritabanları 28 Aralık 2019’da BinaryEdge arama motoru tarafından indekslendi, Diachenko ertesi gün onları keşfetti ve Microsoft’u bilgilendirdi ve şirket 30 Aralık’ta sunucuları güvenli hale getirdi.
Araştırmacılar,” bu kayıtlardaki açıklanan veriler müşteri e-posta adreslerini, IP adreslerini, konumları, CSS taleplerinin ve vakalarının açıklamalarını, Microsoft destek aracısı e-postalarını, “gizli” olarak işaretlenmiş dahili notları ve vaka numaralarını, kararları ve açıklamaları içeriyor “dedi
Diachenko, Microsoft’un destek ekibinin, 29 Aralık’ta gönderdiği rapordan bir gün sonra 30 Aralık’ta veritabanlarını güvence altına aldığını da paylaştı.