Databáze Microsoftu s 250 miliony údaji se volně válela na Internetu

Bezpečnost a ochrana dat je dnes velké téma. Společnosti Microsoft se bohužel povedlo kvůli špatné konfiguraci serverů vytvořit problém, který zahrnoval údaje ze zhruba 250 milionů případů uživatelské podpory. Ty se datovaly až do roku 2005 a databáze sloužila k analýze systémů podpory uživatelů. Stalo se to 5. prosince 2019, kdy byla provedena změna bezpečnostních nastavení serverů, přičemž v důsledku chyby se tato databáze objevila volně přístupná online na pěti serverech (ty byly duplikací téhož).

 

 

Bezpečnostní výzkumník Bob Diachenko našel tuto databázi 29. prosince 2019 poté, co byla zaindexována systémem BinaryEdge a o dva dny později kontaktoval společnost Microsoft, která ještě tentýž den (31. prosince 2019) provedla opravu tak, aby databáze nebyla volně přístupná. V databázi mohly být e-maily, IP adresy, popisy a ID jednotlivých případů, lokalizační údaje a někdy i interní tajné poznámky. Další osobní a jiná důležitá data jako telefonní čísla nebo informace o platbách byla naštěstí nepřítomna. To ale záleželo na tom, zda je uživatel napsal správně. Např. e-maily byly ve většině případů odstraněny, nicméně pokud je uživatel napsal v nestandardním formátu (např. přidal omylem mezeru), systém odstraňování osobních údajů je ponechal.

 

Nejsou známky toho, že by databázi objevil i někdo jiný a snažil se ji použít k nekalým účelům. Microsoft nicméně přesto varuje zákazníky, že by se mohly objevit případy, kdy se bude nějaký záškodník vydávat za pracovníka Microsoftu a díky ID případu a jeho popisu se bude snažit zákazníky oklamat a vytáhnout z nich další údaje, které by mu mohly být ku prospěchu. Microsoft přiznává, že špatná konfigurace je bohužel častým problémem v IT a on sám má nasazeny systémy, které by takovým situacím měly předcházet. Bohužel, tato mnoho let používaná databáze takový systém neměla.

 

Zdroj: techradar.com, msrc-blog.microsoft.com