B
łędnie skonfigurowana baza danych Microsoft ujawnia informacje o 250 milionach klientów.
Krótki Prolog:
• Microsoft udostępnił nieświadomie bazę danych zawierającą analizę różnych przypadków wsparcia 250 milionów klientów narażonych od 5 grudnia 2019 r. Szkodę naprawiono 31 grudnia.
• Bob Diachenko, szef badań bezpieczeństwa firmy Comparitech , znalazł otwarte serwery 29 grudnia i powiadomił Microsoft. Firma programistyczna znalazła źle skonfigurowane reguły bezpieczeństwa i chociaż firma ma „rozwiązania” zapobiegające błędom ludzkim, „nie zostały one włączone dla tej bazy danych”.
• Dane pochodzą z 2005 r., ale informacje umożliwiające identyfikację osób, zostały w większości przypadków zredagowane. Ujawnione rekordy obejmowały adresy e-mail, adresy IP, lokalizacje, roszczenia i opisy problemów oraz „poufne” notatki wewnętrzne. Microsoft powiadamia klientów, ale rodzaj klientów, których dotyczy problem, jest nieznany.
Podczas gdy dochodzenie Microsoftu zakończyło się w 2019 roku, firma zabezpieczyła ujawnioną bazę danych w ciągu 24 godzin od odkrycia Diachenko.
Szybkość odzyskiwania danych ma zasadnicze znaczenie dla naruszeń danych i sposobu obliczania potencjalnych kar za prywatność . Microsoft, który rozszerzył prawa wynikające z Ogólnych przepisów o ochronie danych (RODO) i Kalifornijskiej Ustawy o ochronie prywatności konsumentów (CCPA) na wszystkich swoich klientów, znajduje się w potencjalnej zagadce dotyczącej prywatności.
Naruszenie nastąpiło przed uchwaleniem CCPA 1 stycznia. „Kara mogłaby być liczona w miliardach, gdyby naruszenie to miało miejsce po 31 grudnia 2019 r.” – powiedział Pravin Kothari, dyrektor generalny CipherCloud, w e-mailu do CIO Dive. CCPA może nałożyć grzywnę w wysokości do 750 USD na osobę poszkodowaną w wyniku naruszenia.
Grzywny związane z prywatnością mają drugorzędne znaczenie dla bezpośredniego wpływu, jaki klienci mogą odczuć w wyniku naruszenia. „Klienci nie mają żadnej kontroli nad takimi wyciekami danych”, Leigh-Anne Galloway, lider ds. Odporności na cyberbezpieczeństwo w Positive Technologies, powiedziała CIO Dive w e-mailu.
Ponieważ ujawniona baza danych była hostowana na Microsoft Azure, zaleca się klientom w chmurze „ zmianę haseł dla wszystkich powiązanych adresów e-mail, a nie otwieranie wiadomości e-mail oczekujących pomocy od Microsoft” – powiedziała. „Jeśli odbierasz połączenia telefoniczne od pomocy technicznej Microsoft, nie podawaj żadnych informacji”.
Baza danych Microsoftu nie wymagała hasła ani uwierzytelnienia, gdy została ujawniona, lekcja dla organizacji z modelami bezpieczeństwa zorientowanymi na dostęp musi przejść do zorientowanych na dane, powiedział Kothari.
Kiedy Quest Diagnostics i LabCorp doświadczyły naruszenia danych w łańcuchu dostaw, eksperci obawiali się w rezultacie cyberataków opracowanych społecznie . Atakujący mogą podać wiadomość e-mail, jako wyniki badań laboratoryjnych, udając dostawcę usług medycznych.
To samo dotyczy wsparcia technicznego. Comparitech powiedział, że hakerzy mogą „podszyć się pod personel Microsoft”, ponieważ firma jest „najpopularniejszym systemem operacyjnym na świecie”.
Zobacz artykuł o kolejnym gigancie: Twitter usuwa portal randkowy Grindr po „szalonym naruszeniu” prywatności użytkownika
>> Darmowa wersja oprogramowania, która wspiera administratorów danych osobowych <<