A hibát felfedező Comparitech cég kutatási jelentése szerint 250 milliónyi ügyfélszolgálati adatrekord volt védtelenül elérhető online két napig az év végén. A Microsoft elismerte a felelősségét az ügyben: az történt, hogy módosítást hajtott végre az adatbázis biztonsági rendszerében 2019. december 5-én, és a hibás konfigurálás miatt váltak védtelenné az adatok.
A rekordok a Microsoft támogatási munkatársai és az ügyfelek közötti 14 évnyi beszélgetés naplófájljait tartalmazták. Minden adat szabadon hozzáférhető volt bárki számára egy webböngészővel, nem kellett a megtekintésükhöz jelszó vagy más azonosítási módszer.
Miután a Comparitech munkatársa december 29-én figyelmeztette a Microsoftot, a vállalat 24 órán belül biztosította a szervereket és a rajtuk tárolt adatokat. A rekordok nem tartalmaztak személyi azonosításra alkalmas információkat és nem a szoftvergyártó Azure felhőszolgáltatásán tárolódtak. A nyilvánosságra került adatok között e-mail-címek, IP-címek, lokációk, és bizalmasnak minősített belső feljegyzések voltak. Noha az incidens nem jelentett azonnali kockázatot az ügyfelek számára, a Comparitech szerint az adatok nyilvánosságra kerülésének hatásait nem szabad alábecsülni.
Az adatok ugyanis hasznosak lehetnek olyan magukat support személyzetnek kiadó csalók számára, akik az információkat Microsoft alkalmazottak megszemélyesítésére használhatják fel, így követve el bűncselekményeket.
A Comparitech figyelmeztetést adott ki a felhasználók számára, hogy legyenek óvatosak, és ne dőljenek be a csalók trükkjeinek, akik a Microsoft alkalmazottnak adják ki magukat e-mailben vagy telefonon, felhívva a figyelmüket arra, hogy a vállalat support alkalmazottai normál esetben nem lépnek kapcsolatba ily módon a felhasználókkal.
Három héttel az incidens után a Microsoft bocsánatot kért az ügyfelektől egy vállalati blogbejegyzésben. Átlátható módon akarjuk kezelni az esetet, és biztosítani kívánjuk őket arról, hogy nagyon komolyan vesszük, ami történt, írták.
Szakértők szerint a hibás konfigurálás nagyon elterjedt hiba az iparágban. Léteznek megoldások az ilyen típusú hibák elkerülésére, de az érintett adatbázisoknál nem volt lehetőség ezek alkalmazására.
A hasonló incidensek későbbi elkerülésére a Microsoft auditálni fogja a hálózati biztonsági szabályokat és olyan intézkedéseket vezet be, amelyek révén észlelni lehet a hibás konfigurálást.
