Wpadka Microsoftu: baza danych wystawionana widok publiczny

| Bezpieczenstwo IT
efes

Microsoft poinformował, że błąd w konfiguracji zabezpieczeń jednej z firmowych baz danych spowodował, że 250 milionów rekordów o klientach firmy było publicznie dostępnych. Nasze śledztwo wykazało, że zmiany dokonane 5 grudnia 2019 roku w polityce zabezpieczeń zawierały źle skonfigurowane zasady bezpieczeństwa, które spowodowały wystawienie danych na widok publiczny, czytamy w oświadczeniu koncernu.

Gdy zostaliśmy poinformowani o problemie nasi inżynierowie naprawili go 31 grudnia 2019 roku i zablokowali nieautoryzowany dostęp do danych. Problem dotyczył bazy danych wykorzystywanej do analizy systemu udzielania wsparcia.

Wiadomo, że dane sięgały aż do roku 2005 i zawierały zapisy rozmów pomiędzy klientami Microsoftu, a pracownikami odpowiedzialnymi za wsparcie techniczne. Wiadomo też, że baza była przez co najmniej 2 dni dostępna dla każdego internauty. Przeglądać ją można było bez konieczności logowania się.

Problem zauważyli pracownicy firmy BinaryEdge, zajmującej się wykrywaniem zagrożeń. Poinformowali Microsoft o problemie 31 grudnia. Brawa dla pracowników Microsoftu, że błyskawicznie zareagowali mimo sylwestra, stwierdził Bob Diachenko, który przekazał koncernowi informację o błędzie.

Przeprowadzone przez Microsoft śledztwo wykazało, że zdecydowana większość danych była zanonimizowana. Jednak w pewnych szczególnych wypadkach niektóre dane można było powiązać np. z konkretnym adresem e-mail. Dlatego też, mimo że nie znaleziono dowodów, by do bazy dostał się ktoś nieuprawniony – poza pracownikami BinaryEdge – koncern rozpoczął informowanie klientów, których mógł dotyczyć problem.

Microsoft baza danych błąd konfiguracja