邮箱网 0条评论 4689次浏览 2020年02月04日 星期二 10:57
中国邮箱网讯 2月4日消息 微软承认内部客户支持数据库中的数据泄露,该数据库暴露了2.5亿个客户服务记录。该数据库用于跟踪支持案例,并涉及微软支持代理与来自世界各地的客户之间的对话。所有这些客户数据对具有浏览器并且不需要任何身份验证或密码的任何人都可用。
微软网络安全解决方案部门副总裁安·约翰逊(Ann Johnson)表示:虽然调查未发现恶意使用,尽管大多数客户没有公开个人身份信息,但我们希望对所有客户透明化此事件,并保证他们认为我们非常重视并追究自己的责任”。
在微软的调查中发现,此数据的泄露归因于网络安全数据库的更改,该更改于2019年12月5日引入,其中包含错误配置的安全规则。
微软表示:“此问题特定于用于支持案例分析的内部数据库,并不代表我们的商业云服务受到了威胁。 他们还表示,工程师已对配置进行了修复,并于2019年12月31日通过限制数据库来防止所有未经授权的访问。
该问题最初是由Bob Diachenko报告的,微软后来感谢他帮助解决了该问题。微软表示:我们要真诚地道歉并向我们的客户保证,我们将认真对待它,并努力学习并采取行动以防止将来再次发生。”
Bob Diachenko表示“我立即向微软报告了此情况,并在24小时内保护了所有服务器。尽管有除夕之夜,我仍对微软支持团队的响应能力和快速周转表示赞赏。
尽管该公司表示无需担心,但记录中包括诸如客户的电子邮件地址,IP地址,位置,微软支持代理的电子邮件等详细信息,以及标有“机密”的内部注释。
研究人员说,诈骗者如果在问题得到解决之前已经获得了数据,那么他们就可以利用它来利用或冒充真正的微软员工。
微软安全团队说:微软客户和Windows用户应通过电话和电子邮件警惕此类骗局。请记住,微软从未主动与用户联系来解决他们的技术问题。
这不是微软第一次失去数据安全性。在2013年和2019年初发生了类似的问题。黑客入侵了支持代理的帐户,以从某些用户访问内容。