Na internetu se objevilo 250 milionů interních záznamů zákaznické podpory Microsoftu

Kontaktovali jste v posledních 14 letech zákaznickou podporu společnosti Microsoft? Váš technický problém spolu s dalšími osobními údaji mohl být zveřejněn a kompromitován.

Microsoft přiznal, že utrpěl bezpečnostní incident, v jehož důsledku bylo na internetu zveřejněno téměř čtvrt miliardy záznamů ze zákaznického servisu a podpory (CSS). K tomu došlo následkem nesprávně nakonfigurovaného serveru, který obsahoval záznamy konverzací mezi týmem podpory a zákazníky.

Podle Boba Diačenka, experta na kybernetickou bezpečnost, který nechráněnou databázi objevil a nahlásil společnosti Microsoft, tyto protokoly obsahovaly informace od roku 2005 až do prosince 2019.

Ve svém blogovém příspěvku Microsoft potvrdil, že kvůli nesprávně nakonfigurovaným bezpečnostním pravidlům jejich server skutečně zpřístupnil 5. prosince 2019 data veřejnosti. Rekonfigurace byla provedena až 31. prosince 2019, přičemž byl napraven i bezpečnostní problém. Společnost dále uvedla, že databázi redigovala pomocí automatizovaných nástrojů – odstranila tak osobní údaje většiny zákazníků. Výjimku tvořilo několik případů, kdy nebyly informace ve standardním formátu.

„Při našem šetření se potvrdilo, že z převážné většiny záznamů byly vymazány osobní údaje v souladu s našimi běžnými postupy,“ uvedl Microsoft.

Podle Diačenka však mnoho záznamů v nechráněné a vystavené databázi obsahovalo čitelná data o zákaznících, mezi nimi byly například:

  • e-mailová adresa;
  • IP adresy;
  • Lokace;
  • popisy problémů řešených s technickou podporou i informace o případech;
  • e-maily od pracovníků zákaznické podpory;
  • čísla případů, řešení i připomínky;
  • interní poznámky označené jako „důvěrné“.

Microsoft ubezpečoval veřejnost, že tento problém byl specifický a týkal se interní databáze, kterou využívá pro analýzu zákaznické podpory. Neměl prý za následek expozici dat z komerčních cloudových služeb.

Uniklá data by však mohli zneužít podvodníci k tomu, aby přiměli uživatele zaplatit za vyřešení (neexistujících) problémů s počítačem. Pokud by měli útočníci k dispozici citlivé informace o technických potížích, které zákazníci řešili, stejně tak jejich e-mailové adresy, mohli by se snadno vydávat za zástupce podpory společnosti Microsoft.

Absence osobně identifikovatelných informací (PII) v tomto případě nehraje roli. Protokoly technické podpory často obsahují osobní data VIP klientů, jejich interní systémy a síťové konfigurace, dokonce i hesla. Taková data představují zlatý důl pro trpělivé zločince, jejichž cílem jsou například velké organizace a vlády.

Nejen Microsoft, ale i bezpočet dalších významných společností, ztrácí přehled o externím poli pro útok (tzv. external attack surface), čímž vystavují své klienty a partnery značným rizikům. V roce 2020 pravděpodobně budeme svědky mnoha podobných incidentů.

Společnosti se samozřejmě snaží všemožně bojovat, aby těmto situacím a scénářům zamezily. Nic však není 100% a k únikům a chybám stále dochází. Každá organizace se potýká s jinou částí tohoto problému. Nakonec záleží jen na tom, zda někdo mimo organizaci únik odhalí a ohlásí, nebo jestli využije výhod, které tím pro něj vzniknou.

V tomto případě naštěstí uniklé informace našel expert, který je neplánoval nelegálně využít. Zatím nebylo oznámeno ani prokázáno, že by došlo k úmyslnému zneužití exponovaných dat.

Nejdůležitější je teď zjistit, jak k chybě došlo a jak zabránit opakování podobné situace pro příště. Případně, jestli by za stejných okolností mohlo dojít k obdobným incidentům.

Po incidentu začal Microsoft informovat postižené zákazníky o tom, že jejich data z databáze zákaznických služeb a podpory byla neúmyslně zveřejněna.

Kategorie: Aktuality
02/2020

Zanechat komentář



IT-bezpecnost-logo-white

Login

2017 DCD Publishing s.r.o. ©  Všechna práva vyhrazena

Web by Marián Rehák.