Microsoft je u srijedu otkrio da je istraživač sigurnosti 29. prosinca obavijestio tvrtku o masovnoj pogrešci baze podataka zbog koje je 250 milijuna evidencija kupaca postalo ranjivo na napade. Microsoft je objavio post na blogu koja kaže da je ranjivost rezultat 'pogrešne konfiguracije interne baze podataka korisničke podrške koja se koristi za analizu slučajeva Microsoftove podrške', iako tvrdi da nije pronašla nikakve dokaze da su informacije ugrožene.
Tvrtka je primijenila ispravak pogreške u bazi podataka u roku od dva dana nakon što je obaviještena te kaže da vjeruje da to nije utjecalo na podatke o kupcima. Ipak, Microsoft je počeo obavještavati kupce čiji su podaci uključeni u bazu podataka kako bi bili svjesni da su njihovi podaci mogli biti ugroženi.
koja je supruga Roberta Irvinesa
U većini slučajeva Microsoft kaže da su podaci koji otkrivaju identitet uklonjeni iz baze podataka koja je korištena za analizu slučajeva podrške. Međutim, u nekim su slučajevima možda uključene adrese e-pošte ili drugi osobni podaci.
Budući da je baza podataka sadržavala informacije o slučajevima podrške, kršenje bi potencijalno moglo olakšati prevarantu da se lažno predstavlja kao Microsoftovo osoblje za korisničku podršku i pokušava pristupiti korisničkom računu, računalu ili podacima. Ove vrste prijevara nisu rijetkost, ali napadač rijetko ima stvarne podatke o kupcima kao početno mjesto.
Microsoft kaže da se do pogrešne konfiguracije dogodilo kada su 5. prosinca ažurirana sigurnosna pravila za bazu podataka, zbog čega su zapisi bili izloženi. Iako tvrtka ne vjeruje da su narušeni bilo kakvi podaci o kupcima, podaci su bili izloženi 24 dana, što je dovelo do mogućnosti da im se može pristupiti. Tvrtka je istaknula da je ova vrsta pogreške previše česta i potiče kupce da procijene vlastite postavke sustava.
Pogrešne konfiguracije nažalost su uobičajena pogreška u industriji. Imamo rješenja koja pomažu u sprječavanju ove vrste pogrešaka, ali nažalost za ovu bazu podataka nisu omogućena. Kao što smo saznali, dobro je povremeno pregledavati vlastite konfiguracije i osigurati da koristite sve dostupne zaštite.
neto vrijednost petera gunza 2015
S Microsoftove strane tvrtka je rekla da provodi promjene kako bi spriječila ovu vrstu ranjivosti u budućnosti. Te promjene uključuju procjenu i reviziju 'uspostavljenih pravila mrežne sigurnosti za interne resurse', kao i provedbu mehanizama dizajniranih za otkrivanje pogrešnih konfiguracija sigurnosnih pravila i obavještavanje sigurnosnih timova kada ih otkriju. Uz to, tvrtka unosi promjene u način na koji uređuje osobne podatke za ovu vrstu baze podataka kako bi spriječila nenamjerno izlaganje.
Ako ste kupac Microsoftove podrške, vjerojatno se pitate biste li nešto trebali poduzeti. Microsoft kaže da obavještava kupce kojima su njihovi podaci možda bili uključeni u bazu podataka.
Nažalost, Microsoft je u pravu - previše je primjera da informacije o kupcima izlažu tvrtke koje nemaju odgovarajuću zaštitu. Zapravo je ovaj incident drugi put je Microsoft izvijestio da su podaci o kupcima možda bili ugroženi prošle godine.
A Microsoft zasigurno nije jedina tvrtka koja je imala problema sa sigurnošću podataka o kupcima. Facebook , Equifax i drugi bili su meta napada ili ekspozicija visokog profila. To znači da je na vama da budite na oprezu i preuzmete odgovornost za svoje podatke i zaštitu privatnosti.
To znači da se također vrijedi podsjetiti da ako primite e-poštu ili telefonski poziv koji vam se čini da nije u redu, ne dajte nikakve osobne podatke ili podatke o tvrtki. Uvijek koristite službene kanale za dobivanje podrške, a ako niste zatražili odgovor e-poštom ili telefonskim pozivom, pretpostavite da se prema bilo kojoj komunikaciji treba postupati sumnjičavo.
