Microsoft offentliggjorde onsdag, at den 29. december meddelte en sikkerhedsforsker virksomheden en massiv databasefejl, der efterlod 250 millioner kundeposter sårbare over for angreb. Microsoft offentliggjorde et blogindlæg der siger, at sårbarheden var resultatet af en 'forkert konfiguration af en intern kundesupportdatabase, der blev brugt til Microsoft Support-sagsanalyse', selvom den hævder, at den ikke har fundet noget bevis for, at oplysningerne er kompromitteret.
Virksomheden implementerede en rettelse til databasefejlen inden for to dage efter, at den blev underrettet, og siger, at den mener, at ingen kundeoplysninger blev påvirket. Microsoft er stadig begyndt at underrette kunder, hvis oplysninger er inkluderet i databasen, så de er opmærksomme på, at deres data kunne være kompromitteret.
legarrette blunt vægt og højde
I de fleste tilfælde siger Microsoft, at personligt identificerbare oplysninger blev fjernet fra databasen, som blev brugt til at analysere supportsager. I nogle tilfælde kan e-mail-adresser eller andre personlige oplysninger dog være inkluderet.
Da databasen indeholdt oplysninger om supportsager, kunne et brud muligvis gøre det lettere for en svindler at efterligne Microsofts kundesupportpersonale og forsøge at få adgang til en kundes konto, computer eller data. Disse typer af svindel er ikke ualmindelige, men sjældent har en hacker faktisk kundeoplysninger at bruge som udgangspunkt.
Microsoft siger, at fejlkonfigurationen opstod, da sikkerhedsregler for databasen blev opdateret den 5. december, hvilket medførte, at posterne blev eksponeret. Mens virksomheden ikke mener, at nogen kundeoplysninger blev overtrådt, blev dataene eksponeret i 24 dage, hvilket førte til muligheden for, at de kunne have været tilgået. Virksomheden påpegede, at denne type fejl er alt for almindelig, og opfordrer kunderne til at evaluere deres eget systemopsætning.
Fejlkonfigurationer er desværre en almindelig fejl i hele branchen. Vi har løsninger til at forhindre denne form for fejl, men desværre blev de ikke aktiveret for denne database. Som vi har lært, er det godt med jævne mellemrum at gennemgå dine egne konfigurationer og sikre, at du udnytter alle tilgængelige beskyttelser.
peter gunz nettoværdi 2015
Fra Microsofts side har virksomheden sagt, at de implementerer ændringer for at forhindre denne type sårbarhed i fremtiden. Disse ændringer omfatter evaluering og revision af virksomhedens 'etablerede netværkssikkerhedsregler for interne ressourcer' samt implementering af mekanismer designet til at opdage sikkerhedsregelfejlkonfigurationer og underrette sikkerhedsteam, når de opdages. Derudover foretager virksomheden ændringer i den måde, hvorpå de redigerer personlige oplysninger til denne type database for at forhindre utilsigtet eksponering.
Hvis du er Microsoft Support-kunde, spekulerer du sandsynligvis på, om du skal gøre noget. Microsoft siger, at det underretter kunder, der muligvis har fået deres oplysninger inkluderet i databasen.
Desværre har Microsoft ret - der er alt for mange eksempler på, at kundeinformation bliver eksponeret af virksomheder, der ikke har tilstrækkelig beskyttelse på plads. Faktisk er denne hændelse den anden gang Microsoft har rapporteret at kundeoplysninger muligvis er kompromitteret sidste år.
Og Microsoft er bestemt ikke det eneste firma, der har haft et problem med at holde kundedata sikre. Facebook , Equifax og andre har været målet for højt profilerede angreb eller eksponeringer. Det betyder, at det er op til dig at være opmærksom og tage ansvar for dine egne oplysninger og beskyttelse af privatlivets fred.
Det betyder, at det også er værd at minde os selv om, at hvis du modtager en e-mail eller et telefonopkald, der bare ikke virker korrekt, skal du ikke give nogen personlige eller firmaoplysninger. Brug altid officielle kanaler for at få support, og hvis du ikke har anmodet om et e-mail- eller telefonopkaldssvar, skal du antage, at enhver kommunikation skal behandles med mistanke.
