内部错误留下了外部的Microsoft客户服务数据
在2019年12月初对数据库网络安全集团的变更载有MISCONPD安全规则,在公开互联网上,在公共互联网上留下了超过三周的客户服务记录。
从2005年到2019年跨越世界各地的真正Microsoft客户服务代理商和最终用户之间的记录所揭示的谈话日志。数据还包括客户电子邮件地址,IP地址,位置,案例的描述,支持代理电子邮件,案例编号和分辨率以及存储在纯文本中的某些内部文档,但最易于识别的信息(PII)被重新删除。
CompariteCh的安全团队与安全研究员Bob DiaChenko一起发现了泄漏,该公司发现了五个包含一个明显相同的记录集的Elasticsearch服务器,无法访问它所需的密码或其他身份验证。微软于12月29日被告知情况,服务器和数据于12月31日获得担保。
“我立即向微软并在24小时内报道这一点,所有服务器都得到了保障,”DiaChenko说。“尽管新年前夜,我赞扬了MS支持团队的响应能力和快速转变。”
Microsoft安全响应中心GM Eric Doerr添加:“我们感谢Bob Diachenko与我们密切合作,以便我们能够快速解决此配置,分析数据,并根据需要通知客户。”
它仍然未知客户数据是否被其他人在暴露时访问。但是,即使大多数PII都不近似,数据也可能拥有技术支持诈骗者的价值,而客户现在可能正在提高这种骗局的风险。
技术支持诈骗者经常掌握微软客户的网络钓鱼尝试。一般来说,他们采用了一个“喷雾和祈祷”方法来定位他们的受害者,从其他数据违规和模仿Microsoft技术支持代理人抓取的电话号码或电子邮件的拖网所列表。
微软从未主动联系客户以解决任何科技问题,而且合法的Microsoft技术支持代理商不会授权要求某人安装远程桌面应用程序的密码或请求 - 一个常见的诈骗策略。
由于这些政策,可以通过任何合理知情的最终用户轻松地检测技术支持诈骗,但由于Windows操作系统的全球普遍存在,总会有一些落下受害者的目标。
这潜在违规更严重的是,对于与真正的Microsoft支持电话有关的日志和案例信息,诈骗者的成功机会略有更好的成功机会,并更能能够获得更敏感的信息。
微软表示,它致力于其消费者客户的隐私和安全,并采取行动,停止再次发生这种泄漏。在其他事情之外,它正在进行其网络安全规则的内部审计,涵盖内部资源,扩展了它用于检测安全误操作的机制的范围,为它们添加新的警报,并采取措施来实现PII重放的更好自动化。
“不幸的是,整个行业的常见错误都是一个常见的错误,”在披露博客中写道,DOERR和Microsoft Security VP Annonson。“我们有解决方案可以帮助防止这种错误,但不幸的是,他们未为此数据库启用。正如我们所知,很好地审查自己的配置,并确保您利用所有可用的保护。
“我们希望真诚地为我们的客户致以深表歉意,使我们正在认真对待,并努力学习和采取行动以防止任何未来的复发。”