Microsoft je v sredo razkril, da je 29. decembra varnostni raziskovalec družbo obvestil o veliki napaki baze podatkov, zaradi katere je bilo 250 milijonov evidenc strank ranljivih za napad. Microsoft je objavil objavo v spletnem dnevniku pravi, da je bila ranljivost posledica 'napačne konfiguracije notranje baze podatkov za podporo strankam, ki se uporablja za analizo primerov Microsoftove podpore', čeprav trdi, da ni našla nobenega dokaza, da bi bile informacije ogrožene.
Družba je popravek napake baze podatkov izvedla v dveh dneh po prejemu obvestila in meni, da ni vplivala na nobene podatke o strankah. Kljub temu je Microsoft začel obveščati stranke, katerih podatki so vključeni v bazo podatkov, da se zavedajo, da bi lahko bili njihovi podatki ogroženi.
Justin Big Chief Shearer neto vrednost
V večini primerov Microsoft pravi, da so bili osebno prepoznavni podatki odstranjeni iz baze podatkov, ki je bila uporabljena za analizo primerov podpore. V nekaterih primerih pa so bili morda vključeni e-poštni naslovi ali drugi osebni podatki.
Ker je baza podatkov vsebovala informacije o primerih podpore, bi goljuf potencialno lahko prevarantu olajšal lažno predstavljanje Microsoftovega osebja za podporo strankam in poskušal pridobiti dostop do računa, računalnika ali podatkov stranke. Te vrste prevar niso redke, a le redko ima napadalec dejanske podatke o strankah, ki jih lahko uporabi kot izhodišče.
Microsoft pravi, da je do napačne konfiguracije prišlo, ko so bila 5. decembra posodobljena varnostna pravila za bazo podatkov, zaradi česar so bili zapisi izpostavljeni. Medtem ko družba ne verjame, da so bile kakršne koli informacije o strankah kršene, so bili podatki izpostavljeni 24 dni, kar je povzročilo možnost, da bi do njih lahko dostopali. Družba je poudarila, da je tovrstna napaka preveč pogosta, in spodbuja stranke, naj ocenijo lastne nastavitve sistema.
Napačne konfiguracije so žal pogosta napaka v celotni panogi. Imamo rešitve za preprečevanje tovrstnih napak, ki pa žal niso bile omogočene za to bazo podatkov. Kot smo izvedeli, je dobro redno pregledovati lastne konfiguracije in zagotoviti, da izkoriščate vse razpoložljive zaščite.
Peter Gunz neto vrednost 2015
Podjetje Microsofta je izjavilo, da uvaja spremembe, da bi v prihodnosti preprečilo tovrstno ranljivost. Te spremembe vključujejo ocenjevanje in revizijo 'uveljavljenih pravil omrežne varnosti za notranje vire', pa tudi izvajanje mehanizmov za odkrivanje napačnih konfiguracij varnostnih pravil in obveščanje varnostnih skupin, ko jih odkrijejo. Poleg tega podjetje spreminja način urejanja osebnih podatkov za to vrsto zbirke podatkov, da prepreči nenamerno izpostavljenost.
Če ste stranka Microsoftove podpore, se verjetno sprašujete, ali bi morali kaj storiti. Microsoft pravi, da obvešča stranke, ki so morda svoje podatke vključili v bazo podatkov.
Na žalost ima Microsoft prav - preveč je primerov, da informacije o strankah razkrijejo podjetja, ki nimajo ustrezne zaščite. Pravzaprav je ta incident drugič je Microsoft poročal da so bili podatki o strankah lani ogroženi.
In Microsoft zagotovo ni edino podjetje, ki je imelo težave z varovanjem podatkov o strankah. Facebook , Equifax in drugi so bili tarča odmevnih napadov ali izpostavljenosti. To pomeni, da morate biti pozorni in prevzeti odgovornost za svoje podatke in zaščito zasebnosti.
To pomeni, da si velja tudi opomniti, da če prejmete e-pošto ali telefonski klic, ki se vam ne zdi v redu, ne posredujte osebnih podatkov ali podatkov podjetja. Za podporo vedno uporabite uradne kanale, in če niste zahtevali odgovora po e-pošti ali telefonskem klicu, domnevajte, da je treba vsako komunikacijo obravnavati sumljivo.
