Súlyos biztonsági hibát ismert el és javított ki a Microsoft

A belső használatra szánt, védelem nélküli adatbázist bárki elérhette volna.

A hivatalos blogon jelentette be tegnap a Microsoft, hogy december végén külső figyelmeztetés után fedeztek fel egy biztonsági hiányosságot, melyet két nap után javítottak is.

A hibáról a Security Discovery biztonsági cég szakértője, Bob Diachenko értesítette a vállalatot (Diachenko volt az, aki szintén tavaly decemberben hasonló hibát talált a Facebook rendszerében is).

Maga a probléma: a jelentés szerint a Microsoft ügyfélszolgálatának egy méretes, belső használatra szánt adatbázisa úgy volt elérhető, kereső által felfedezhető az internetről december 5. és 31. között, hogy az adatokat semmilyen védelemmel nem látták el – maga a tartalom is titkosítás nélkül, szövegesen volt hozzáférhető. A december 29-én leadott riport után a Microsoft és Diachenko közösen vizsgálták meg a problémát, majd december 31-én került sor a javításra.

Az öt Elasticsearch szerveren elhelyezett, többszörösen tükrözött adatbázis összesen mintegy 250 millió bejegyzést tartalmazott, pl.: az ügyfelek e-mail címe, IP-címe, földrajzi helyzete, az ügyfélszolgálattal folytatott tevékenység részletei. A Microsoft szerint a rekordok többsége nem tartalmazott személyes információkat, mivel egy automatizmus segítségével ezeket törlik a rögzített adatok közül. Ahol viszont a nem szabványos megadás folytán maradtak benn személyes adatok, azoknál a felhasználóknál a Microsoft értesítést küld ki a történtekről. Azt is közölték, hogy felülvizsgálják a biztonsági előírásokat és protokollokat, hogy ilyen eset többé ne fordulhasson elő.

A vizsgálat eddigi adatai szerint senki sem élt vissza a lehetőséggel.

Előzmények