内部错误留下了外部的Microsoft客户服务数据
LV =滚动智能扬声器技能
华为推出英国和爱尔兰商业的移动发展计划
暴露的AWS桶再次涉及多个数据泄漏
政府将£140米NHS AI奖奖励加快先进的技术用法
一半的技术工作人员想在2020年找到一份新工作
Acronis首席执行官随见专家超越备份
数字部门每天为英国经济提供400亿英镑
2019年有意义的收入难以捉摸,但机会从企业敲打5G
BT呼吁在英国农村网络计划中进行投资公平的运营商
加拿大皇家银行在自动化流程中为Mencap进行了“腿部”
IR35私营部门改革:将雇主的NI推到承包商上,公司通过承包商的危险行动
如果他们担任一体,英国和欧盟艾美社区将只会全球重要意义
提出了关于Gov.uk的更多问题验证了数字身份征求资料
现代电信已经开辟了瑞典的北方
三星团队与Comms科技领导人设置5G速度基准
谷歌云确认为10亿美元的收入运行费率业务
Horangi和Tokio海洋组队在网络安全服务上
伯明翰和利物浦在地铁英国移动速度测试中占据最高点
Xerox准备剪切和粘贴惠普公司
Windows 7的:这些碎片融合在一起,用于PC重新思考
Deutsche Telekom声称最成功的一年
O2去O-RAN改善网络服务
虚拟宽带连接到2025年通过500亿
执行面试:Melissa di Donato,CEO,SUSE
5克从炒作到现实,并将在2034年将22Tn增加2.2Tn到全球经济
英国共享农村网络获得官方进步
云误导的成本设定为5亿美元
长期,黑暗的冬季促进芬兰在视频游戏开发中的优势
政府收紧关于IoT网络安全的法律
增值税软件供应商公布数百万的数据
技术国家选择第五个高档计划队列
IR35私营部门改革:IT承包商称重他们的4月2020年后工作选择
中东二十五的IT工作人员将改变更多金钱的工作
警察IT系统故障会创建重要的积压
Joaquin Phoenix的Joker是“最危险的”电影
NHSX任命首席信息官
在Q3和Q4之间的全球云基础设施中的记录破坏上升
沃达丰推出了新的物联网投资组合和5G关税
ClearView Hack Fuels辩论面部识别
IBM在FlashSystem品牌下统一存储阵列
对英国即将到来的移民规则的技术反应
达沃斯2020:为什么IT部门必须解决气候问题
麦格理云服务建立天蓝色的实践
七个项目资助探索Cav安全
Extreme Networks声称Wi-Fi 6为美国体育体育馆的游戏更换器
沃达丰,Orange Tap Amdocs提高西班牙商务优惠
云数据泄漏缺乏自动化工具
IR35私营部门改革:IBM加入将毯子禁令应用于PSC的企业列表
Q4再次成长,但全球智能手机市场将在2019年下映
您的位置:首页 >产品 > 人工智能 >

内部错误留下了外部的Microsoft客户服务数据

2021-09-10 16:44:08 [来源]:

在2019年12月初对数据库网络安全集团的变更载有MISCONPD安全规则,在公开互联网上,在公共互联网上留下了超过三周的客户服务记录。

从2005年到2019年跨越世界各地的真正Microsoft客户服务代理商和最终用户之间的记录所揭示的谈话日志。数据还包括客户电子邮件地址,IP地址,位置,案例的描述,支持代理电子邮件,案例编号和分辨率以及存储在纯文本中的某些内部文档,但最易于识别的信息(PII)被重新删除。

CompariteCh的安全团队与安全研究员Bob DiaChenko一起发现了泄漏,该公司发现了五个包含一个明显相同的记录集的Elasticsearch服务器,无法访问它所需的密码或其他身份验证。微软于12月29日被告知情况,服务器和数据于12月31日获得担保。

“我立即向微软并在24小时内报道这一点,所有服务器都得到了保障,”DiaChenko说。“尽管新年前夜,我赞扬了MS支持团队的响应能力和快速转变。”

Microsoft安全响应中心GM Eric Doerr添加:“我们感谢Bob Diachenko与我们密切合作,以便我们能够快速解决此配置,分析数据,并根据需要通知客户。”

它仍然未知客户数据是否被其他人在暴露时访问。但是,即使大多数PII都不近似,数据也可能拥有技术支持诈骗者的价值,而客户现在可能正在提高这种骗局的风险。

技术支持诈骗者经常掌握微软客户的网络钓鱼尝试。一般来说,他们采用了一个“喷雾和祈祷”方法来定位他们的受害者,从其他数据违规和模仿Microsoft技术支持代理人抓取的电话号码或电子邮件的拖网所列表。

微软从未主动联系客户以解决任何科技问题,而且合法的Microsoft技术支持代理商不会授权要求某人安装远程桌面应用程序的密码或请求 - 一个常见的诈骗策略。

由于这些政策,可以通过任何合理知情的最终用户轻松地检测技术支持诈骗,但由于Windows操作系统的全球普遍存在,总会有一些落下受害者的目标。

这潜在违规更严重的是,对于与真正的Microsoft支持电话有关的日志和案例信息,诈骗者的成功机会略有更好的成功机会,并更能能够获得更敏感的信息。

微软表示,它致力于其消费者客户的隐私和安全,并采取行动,停止再次发生这种泄漏。在其他事情之外,它正在进行其网络安全规则的内部审计,涵盖内部资源,扩展了它用于检测安全误操作的机制的范围,为它们添加新的警报,并采取措施来实现PII重放的更好自动化。

“不幸的是,整个行业的常见错误都是一个常见的错误,”在披露博客中写道,DOERR和Microsoft Security VP Annonson。“我们有解决方案可以帮助防止这种错误,但不幸的是,他们未为此数据库启用。正如我们所知,很好地审查自己的配置,并确保您利用所有可用的保护。

“我们希望真诚地为我们的客户致以深表歉意,使我们正在认真对待,并努力学习和采取行动以防止任何未来的复发。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。