Microsoft avslørte onsdag at en sikkerhetsforsker 29. desember varslet selskapet om en massiv databasefeil som etterlot 250 millioner kundeposter sårbare for angrep. Microsoft publiserte et blogginnlegg som sier at sårbarheten var resultatet av en feilkonfigurasjon av en intern kundesupportdatabase som ble brukt til Microsoft Support-saksanalyse, selv om den hevder at den ikke har funnet noe bevis for at informasjonen ble kompromittert.
Selskapet implementerte en løsning for databasefeil innen to dager etter at den ble varslet, og sier at de mener at ingen kundeinformasjon ble berørt. Likevel har Microsoft begynt å varsle kunder hvis informasjon er inkludert i databasen, slik at de er klar over at dataene deres kan ha blitt kompromittert.
hvor mye er charlie wilson verdt
I de fleste tilfeller sier Microsoft at personlig identifiserbar informasjon ble omdirigert fra databasen, som ble brukt til å analysere støttesaker. I noen tilfeller kan imidlertid e-postadresser eller annen personlig informasjon ha blitt inkludert.
Siden databasen inneholdt informasjon om supportsaker, kan et brudd potensielt gjøre det lettere for en svindler å utgi seg for Microsofts kundesupportpersonell og forsøke å få tilgang til en kundes konto, datamaskin eller data. Denne typen svindel er ikke uvanlig, men sjelden har en angriper faktisk kundeinformasjon å bruke som utgangspunkt.
Microsoft sier at feilkonfigurasjonen skjedde da sikkerhetsregler for databasen ble oppdatert 5. desember, noe som førte til at postene ble eksponert. Selv om selskapet ikke tror at noen kundeinformasjon ble brutt, ble dataene eksponert i 24 dager, noe som førte til muligheten for at den kunne vært tilgjengelig. Selskapet påpekte at denne typen feil er altfor vanlig, og oppfordrer kundene til å evaluere sitt eget systemoppsett.
Feilkonfigurasjoner er dessverre en vanlig feil i hele bransjen. Vi har løsninger for å forhindre denne typen feil, men dessverre ble de ikke aktivert for denne databasen. Som vi har lært, er det bra å med jevne mellomrom gjennomgå dine egne konfigurasjoner og sikre at du benytter deg av all tilgjengelig beskyttelse.
peter gunz nettoverdi 2015
Fra Microsofts side har selskapet sagt at de implementerer endringer for å forhindre denne typen sårbarhet i fremtiden. Disse endringene inkluderer evaluering og revisjon av selskapets 'etablerte regler for nettverkssikkerhet for interne ressurser', samt implementering av mekanismer designet for å oppdage feilkonfigurasjoner av sikkerhetsregler og varsle sikkerhetsteam når de blir oppdaget. I tillegg gjør selskapet endringer i måten de redigerer personlig informasjon på for denne databasen for å forhindre utilsiktet eksponering.
Hvis du er kundestøtte fra Microsoft, lurer du sannsynligvis på om du skal gjøre noe. Microsoft sier det varsler kunder som kan ha fått informasjonen deres inkludert i databasen.
Dessverre har Microsoft rett - det er altfor mange eksempler på at kundeinformasjon blir eksponert av selskaper som ikke klarer å ha tilstrekkelig beskyttelse på plass. Faktisk er denne hendelsen den andre gang Microsoft har rapportert at kundeinformasjon kan ha blitt kompromittert i fjor.
Og Microsoft er absolutt ikke det eneste selskapet som har hatt et problem med å holde kundedata sikre. Facebook , Equifax og andre har vært målet for høyprofilerte angrep eller eksponeringer. Det betyr at det er på deg å være årvåken og ta ansvar for din egen informasjon og personvern.
Det betyr at det også er verdt å minne oss selv på at hvis du mottar en e-post eller telefonsamtale som bare ikke virker riktig, ikke gi ut personlig eller bedriftsinformasjon. Bruk alltid offisielle kanaler for å få støtte, og hvis du ikke har bedt om svar via e-post eller telefonsamtale, antar du at all kommunikasjon skal behandles med mistanke.
