Spoločnosť Microsoft v stredu zverejnila, že 29. decembra bezpečnostný výskumník spoločnosti oznámil rozsiahlu chybu v databáze, ktorá spôsobila, že 250 miliónov záznamov zákazníkov je zraniteľných voči útoku. Spoločnosť Microsoft zverejnila blogový príspevok ktorá hovorí, že zraniteľnosť bola výsledkom „nesprávnej konfigurácie internej databázy zákazníckej podpory používanej na analýzu prípadov prípadu podpory spoločnosti Microsoft“, hoci tvrdí, že nenašla dôkazy o tom, že by tieto informácie boli ohrozené.
Spoločnosť implementovala opravu chyby databázy do dvoch dní od jej oznámenia a tvrdí, že je presvedčená, že neboli ovplyvnené žiadne informácie o zákazníkoch. Spoločnosť Microsoft stále začala upozorňovať zákazníkov, ktorých informácie sú obsiahnuté v databáze, aby si boli vedomí toho, že mohlo dôjsť k zneužitiu ich údajov.
legarrette blount peso y altura
Vo väčšine prípadov spoločnosť Microsoft tvrdí, že informácie umožňujúce identifikáciu osôb boli redigované z databázy, ktorá bola použitá na analýzu prípadov podpory. V niektorých prípadoch však môžu byť zahrnuté e-mailové adresy alebo iné osobné informácie.
Keďže databáza obsahovala informácie o prípadoch podpory, porušenie by potenciálne mohlo podvodníkovi uľahčiť vydávanie sa za pracovníkov zákazníckej podpory spoločnosti Microsoft a pokus o získanie prístupu k zákazníckemu účtu, počítaču alebo údajom. Tieto typy podvodov nie sú neobvyklé, ale útočník má zriedka skutočné informácie o zákazníkovi, ktoré môže použiť ako východiskové miesto.
Spoločnosť Microsoft tvrdí, že k nesprávnej konfigurácii došlo pri aktualizácii bezpečnostných pravidiel pre databázu 5. decembra, čo spôsobilo odhalenie záznamov. Aj keď spoločnosť neverí, že došlo k porušeniu akýchkoľvek informácií o zákazníkoch, údaje boli vystavené 24 dní, čo viedlo k možnosti, že k nim mohol byť prístup. Spoločnosť poukázala na to, že tento typ chýb je príliš častý, a vyzýva zákazníkov, aby vyhodnotili svoje vlastné nastavenie systému.
Nesprávne konfigurácie sú bohužiaľ v priemysle bežnou chybou. Máme riešenia, ktoré pomôžu zabrániť tomuto druhu chýb, ale pre túto databázu, žiaľ, neboli povolené. Ako sme sa dozvedeli, je dobré pravidelne kontrolovať svoje vlastné konfigurácie a uistiť sa, že využívate všetky dostupné ochrany.
kait parker y michael lowry
Pokiaľ ide o spoločnosť Microsoft, spoločnosť uviedla, že implementuje zmeny, ktoré majú zabrániť tomuto typu zraniteľnosti v budúcnosti. Medzi tieto zmeny patrí hodnotenie a audit „zavedených bezpečnostných pravidiel siete pre interné zdroje“, ako aj implementačné mechanizmy určené na zisťovanie nesprávnych konfigurácií bezpečnostných pravidiel a informovanie bezpečnostných tímov o ich odhalení. Spoločnosť navyše vykonáva zmeny v spôsobe, akým rediguje osobné informácie pre tento typ databázy, aby zabránila neúmyselnému odhaleniu.
Ak ste zákazníkom podpory spoločnosti Microsoft, pravdepodobne vás zaujíma, či by ste mali niečo urobiť. Spoločnosť Microsoft tvrdí, že upozorňuje zákazníkov, ktorí mohli mať svoje informácie zahrnuté v databáze.
Microsoft má, bohužiaľ, pravdu - existuje príliš veľa príkladov, keď sú informácie o zákazníkoch vystavené spoločnosťami, ktoré nemajú zavedenú adekvátnu ochranu. V skutočnosti ide o tento incident Microsoft nahlásil druhýkrát že informácie o zákazníkoch mohli byť minulý rok ohrozené.
A Microsoft určite nie je jedinou spoločnosťou, ktorá mala problém so zabezpečením údajov o zákazníkoch. Facebook , Equifax a ďalšie boli terčom významných útokov alebo odhalení. To znamená, že je na vás, aby ste boli ostražití a prevzali zodpovednosť za svoje vlastné informácie a ochranu súkromia.
To znamená, že si tiež stojí za to pripomenúť, že ak dostanete e-mail alebo telefonický hovor, ktorý sa vám nezdá správny, neposkytujte žiadne osobné ani firemné informácie. Na získanie podpory vždy používajte oficiálne kanály. Ak ste nepožiadali o e-mailovú alebo telefonickú odpoveď, predpokladajte, že s každou komunikáciou by sa malo zaobchádzať podozrievavo.
