Mektupta: Compareitech'li güvenlik araştırmacıları kısa süre önce, web tarayıcısı olan herkesin erişebileceği bir veritabanında - güvenli olmayan - oturan 250 milyon Microsoft Müşteri Hizmetleri ve Destek (CSS) kaydı koleksiyonunu keşfetti.

Kayıtlar, Microsoft destek temsilcileri ve dünyanın dört bir yanından gelen müşteriler arasında 2005'e kadar uzanan görüşmeler, günlükler ve bilgiler içeriyor.

Comparitech dedim BinaryEdge arama motoru tarafından dizine eklendikten sadece bir gün sonra, 29 Aralık 2019'da, her biri 250 milyon kayıt gibi görünen beş Elasticsearch sunucusu buldu.

Çoğu kişisel olarak tanımlanabilir bilgi kayıtlardan çıkarılmıştır, ancak birçoğunda müşteri e-posta adresleri, IP adresleri, yerler, CSS talep ve davalarının açıklamaları, destek aracısı e-postaları, kararlar ve açıklamalar, vaka numaraları ve dahili "gizli" olarak işaretlenmiş notlar.

Neyse ki, Compareitech sorumlu şeyi yaptı ve bu konuda Microsoft'a ulaştı. Redmond’un destek ekibi tam olarak bunu ele aldı ve güvenlik açığı bulunan tüm sunucuların 24 saat içinde güvenliği sağlandı.

Kısa pencerede bile, Compareitech, o sırada diğer yetkisiz tarafların veritabanlarına erişip erişmediğinden emin olmadığını söylemesine rağmen, haksız faaliyet için fırsat vardı.




Kendi blog yazısında, Microsoft kendini sorumlu tuttu, 5 Aralık 2019'da veritabanının ağ güvenlik grubunda yapılan bir değişikliği, suçlu olarak belirtmektedir. Şirket, sorunun “destek vakası analizi için kullanılan dahili bir veritabanına özgü olduğunu ve ticari bulut hizmetlerimizin bir gösterimini temsil etmediğini” söyledi.

Masthead kredisi: Microsoft, VDB Photos tarafından. Sunucular stok görüntü tarafından.