В течение Нового года Microsoft раскрыла в Интернете почти 250 миллионов записей о клиентской поддержке и поддержке (CSS). Записи содержали журналы разговоров между агентами службы поддержки Microsoft и клиентами со всего мира, охватывающие 14-летний период с 2005 по декабрь 2019 года. Все данные оставались доступными для любого человека с веб-браузером, без пароля или другой аутентификации. необходимый.
Исследовательская группа Comparitech по безопасности во главе с Бобом Дьяченко обнаружила пять серверов Elasticsearch, каждый из которых содержал идентичный набор из 250 миллионов записей. Дьяченко немедленно уведомил Microsoft об обнаружении открытых данных, и Microsoft предприняла быстрые меры для их защиты.
«Мы благодарны Бобу Дьяченко за тесное сотрудничество с нами, чтобы мы смогли быстро исправить эту неверную конфигурацию, проанализировать данные и при необходимости уведомить клиентов».
- Эрик Доерр, Генеральный директор, Microsoft
Contents
Хронология воздействия
В общей сложности данные были обнародованы в течение примерно двух дней, прежде чем мы предупредили Microsoft, и записи были защищены.
- 28 декабря 2019 г. - базы данных были проиндексированы поисковой системой BinaryEdge
- 29 декабря 2019 года - Дьяченко обнаружил базы данных и немедленно уведомил Microsoft.
- 30-31 декабря 2019 года - Microsoft защитила серверы и данные. Дьяченко и Microsoft продолжили расследование и процесс исправления.
- 21 января 2020 г. - Microsoft раскрыла дополнительные сведения о разоблачении в результате расследования.
«Я немедленно сообщил об этом в Microsoft, и в течение 24 часов все серверы были защищены», - сказал Дьяченко. «Я приветствую команду поддержки MS за оперативность и быстрое решение этой проблемы, несмотря на канун Нового года».
Мы не знаем, обращались ли какие-либо посторонние лица к базе данных в течение этого времени..
Какие данные были выставлены?
Дьяченко объясняет, что большая часть личной информации - псевдонимы электронной почты, номера контрактов и информация об оплате - была отредактирована. Тем не менее, многие записи содержали текстовые данные, включая, но не ограничиваясь:
- Адреса электронной почты клиентов
- IP-адреса
- Места
- Описания CSS претензий и случаев
- Письма агента поддержки Microsoft
- Номера дел, резолюции и замечания
- Внутренние записи, помеченные как «конфиденциальные»
Опасность раскрытия данных для клиентов Microsoft
Даже при том, что наиболее личная информация была удалена из записей, опасности этого воздействия не следует недооценивать. Эти данные могут быть полезны мошенникам службы технической поддержки, в частности.
Мошенничество с технической поддержкой влечет за собой мошенничество, связывающееся с пользователями и изображающее из себя представителя службы поддержки Microsoft. Эти виды мошенничества довольно распространены, и даже если мошенники не имеют никакой личной информации о своих целях, они часто выдают себя за сотрудников Microsoft. В конце концов, Microsoft Windows - самая популярная операционная система в мире..
С подробными журналами и информацией о деле мошенники имеют больше шансов на успех в достижении своих целей. Если мошенники получили данные до того, как они были защищены, они могли бы использовать их, выдавая себя за настоящего сотрудника Microsoft и ссылаясь на реальный номер дела. Оттуда они могут перехватить конфиденциальную информацию или взломать пользовательские устройства..
Клиенты Microsoft и пользователи Windows должны быть в поиске таких мошенников по телефону и электронной почте. Помните, что Microsoft никогда активно не обращается к пользователям для решения своих технических проблем - пользователи должны сначала обратиться к Microsoft за помощью. Сотрудники Microsoft не будут запрашивать ваш пароль или запрашивать установку приложений удаленного рабочего стола, таких как TeamViewer. Это обычная тактика среди технических мошенников.
Прошлые нарушения и воздействия Microsoft
Это не первый инцидент безопасности Microsoft.
В 2013 году хакеры взломали секретную базу данных компании для отслеживания ошибок в ее программном обеспечении. Это нарушение не включало никакой пользовательской информации и никогда не было официально обнародовано, но Reuters подтвердило инцидент с пятью бывшими сотрудниками..
В период с января по март 2019 года хакеры взломали учетную запись агента поддержки Microsoft. Компания заявила, что существует вероятность того, что хакер получил доступ к содержимому учетных записей некоторых пользователей Outlook..
Как и почему мы обнаружили это воздействие
Comparitech сотрудничает с исследователем безопасности Бобом Дьяченко для поиска открытых баз данных в Интернете. Обширный опыт Дьяченко в области кибербезопасности позволяет нам быстро и ответственно выявлять случаи утечки данных и раскрытия информации ответственным сторонам.
Как только Дьяченко обнаруживает ненадлежащим образом защищенные данные, он немедленно предпринимает шаги, чтобы идентифицировать и уведомить владельца. После того, как данные будут защищены, Comparitech публикует такой отчет.
Мы исследуем содержимое базы данных, чтобы определить, какая информация была раскрыта и кому она принадлежит. Наша цель - снизить вред для конечных пользователей путем ограничения доступа к данным и повышения осведомленности среди тех, кто может быть затронут.
Предыдущие отчеты
Comparitech и Дьяченко совместно работали над рядом сообщений об инцидентах, затрагивающих миллионы людей, в том числе:
- 267 миллионов идентификаторов пользователей Facebook и телефонных номеров выставлены онлайн
- 2,7 миллиарда открытых адресов электронной почты в основном из китайских доменов, 1 миллион из которых включал пароли
- Подробные личные записи 188 миллионов человек, обнаруженных в Интернете
- 7 миллионов студенческих записей выставлены K12.com
- 5 миллионов личных записей, принадлежащих MedicareSupplement.com, представлены общественности
- Выставлено 2,8 миллиона записей клиентов CenturyLink
- Просочились записи клиентов 700k Choice Hotels