250 mln danych klientów Microsoftu trafiło do sieci. Baza nie miała hasła Strona główna Aktualności23.01.2020 11:41 Baza danych Microsoftu była dostępna w internecie bez zabezpieczeń, fot. Getty Images Udostępnij: O autorze Oskar Ziomek @o.zio 250 milionów rekordów z bazy danych o klientach Microsoftu było dostępnych dla każdego bez hasła. Tak potężna wpadka to efekt niewłaściwej konfiguracji reguł bezpieczeństwa stosowanych w środowisku Azure. Microsoft informuje o zakończonym śledztwie i zapewnia, że dane nie zostały wykorzystane przez osoby trzecie, a wszystko dotyczy tylko wewnętrznej bazy związanej z pracą pomocy technicznej. Nieco inaczej sprawa wygląda z punktu widzenia badaczy bezpieczeństwa z firmy Comparitech. Bob Diachenko, pod którego przewodnictwem analizowano ten przypadek, 29 grudnia 2019 roku odkrył bazę Microsoftu, do której można się było dostać bez hasła i mógł to zrobić w zasadzie każdy. Reguły zabezpieczeń Microsoftu mają tylko kilka kluczowych właściwości, źródło: Microsoft. Wśród danych można było dotrzeć między innymi do zapisanych wprost adresów e-mail, lokalizacji czy adresów IP użytkowników korzystających z pomocy technicznej Microsoftu, a także dzienników rozmów z klientami obejmujących okres od 2005 do 2019 roku. Jak dowiadujemy się z informacji Comparitech, zaraz po wykryciu problemu Microsoft został o nim poinformowany. Od tego momentu obydwie firmy współpracowały podczas procesu ponownego zabezpieczania bazy, co udało się zrobić już w kolejnych dwóch dniach. Dodatkowe szczegóły całego zajścia zostały jednak opublikowane przez Microsoft dopiero teraz, po zakończonym dochodzeniu. Microsoft nie umywa rąk W swojej publikacji na blogu Microsoft informuje o szczegółach i już na wstępie zapewnia, że traktuje sprawę poważnie i bierze za nią pełną odpowiedzialność. Dodaje przy tym, że dane w bazie są na bieżąco cenzurowane przy użyciu automatycznych narzędzi mających na celu ochronę danych osobowych i większość z nich została w ten sposób zabezpieczona. Wynika więc z tego, że pozostała część to te informacje o klientach, o których dostępności wspomina Comparitech. – Pragniemy szczerze przeprosić i zapewnić naszych klientów, że traktujemy to poważnie i uważnie pracujemy, by wyciągnąć wnioski i podjąć działania, aby zapobiec ponownemu wystąpieniu w przyszłości – tłumaczą we wpisie Ann Johnson i Eric Doerr z Microsoftu. – Chcemy również podziękować badaczowi, Bobowi Diachenko, za ścisłą współpracę z nami, dzięki czemu mogliśmy szybko naprawić błędną konfigurację, zbadać problem i zacząć odpowiednio powiadamiać klientów. Czas wdrożyć nowe zabezpieczenia Część działań na przyszłość już została zaplanowana. Jest to audyt ustalonych reguł bezpieczeństwa, wdrożenie dodatkowych ostrzeżeń dla zespołów serwisowych w przypadku wykrycia błędnej konfiguracji, poszerzenie zakresu działania mechanizmów wykrywania niewłaściwych konfiguracji reguł oraz wdrożenie dodatkowej automatyzacji zaciemniania danych w bazie. Niewłaściwe konfiguracje reguł bezpieczeństwa daje hakerom pełny dostęp do danych i kont użytkowników. Chroń je za pomocą odpowiednio dobrego antywirusa. Microsoft zaznacza, że baza danych, która w grudniu była przez pewien czas dostępna w sieci bez zabezpieczeń, nie ma związku z danymi klientów jego komercyjnych usług chmurowych. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Ignite 2019: SQL Server 2019 to już nie baza, to ogromny klaster danych 4 lis 2019 Anna Rymsza Oprogramowanie IT.Pro 26 Baza danych freedb przestanie działać z końcem marca 10 sty Kamil J. Dudek Oprogramowanie IT.Pro 63 Microsoft Edge z Chromium zostanie wydany dla Linuxa 5 lis 2019 Anna Rymsza Oprogramowanie Internet 239 Microsoft Edge RC dostępny. To ostatnia Beta przed stabilnym wydaniem w 2020 r. 5 lis 2019 Oskar Ziomek Oprogramowanie Internet 48
Udostępnij: O autorze Oskar Ziomek @o.zio 250 milionów rekordów z bazy danych o klientach Microsoftu było dostępnych dla każdego bez hasła. Tak potężna wpadka to efekt niewłaściwej konfiguracji reguł bezpieczeństwa stosowanych w środowisku Azure. Microsoft informuje o zakończonym śledztwie i zapewnia, że dane nie zostały wykorzystane przez osoby trzecie, a wszystko dotyczy tylko wewnętrznej bazy związanej z pracą pomocy technicznej. Nieco inaczej sprawa wygląda z punktu widzenia badaczy bezpieczeństwa z firmy Comparitech. Bob Diachenko, pod którego przewodnictwem analizowano ten przypadek, 29 grudnia 2019 roku odkrył bazę Microsoftu, do której można się było dostać bez hasła i mógł to zrobić w zasadzie każdy. Reguły zabezpieczeń Microsoftu mają tylko kilka kluczowych właściwości, źródło: Microsoft. Wśród danych można było dotrzeć między innymi do zapisanych wprost adresów e-mail, lokalizacji czy adresów IP użytkowników korzystających z pomocy technicznej Microsoftu, a także dzienników rozmów z klientami obejmujących okres od 2005 do 2019 roku. Jak dowiadujemy się z informacji Comparitech, zaraz po wykryciu problemu Microsoft został o nim poinformowany. Od tego momentu obydwie firmy współpracowały podczas procesu ponownego zabezpieczania bazy, co udało się zrobić już w kolejnych dwóch dniach. Dodatkowe szczegóły całego zajścia zostały jednak opublikowane przez Microsoft dopiero teraz, po zakończonym dochodzeniu. Microsoft nie umywa rąk W swojej publikacji na blogu Microsoft informuje o szczegółach i już na wstępie zapewnia, że traktuje sprawę poważnie i bierze za nią pełną odpowiedzialność. Dodaje przy tym, że dane w bazie są na bieżąco cenzurowane przy użyciu automatycznych narzędzi mających na celu ochronę danych osobowych i większość z nich została w ten sposób zabezpieczona. Wynika więc z tego, że pozostała część to te informacje o klientach, o których dostępności wspomina Comparitech. – Pragniemy szczerze przeprosić i zapewnić naszych klientów, że traktujemy to poważnie i uważnie pracujemy, by wyciągnąć wnioski i podjąć działania, aby zapobiec ponownemu wystąpieniu w przyszłości – tłumaczą we wpisie Ann Johnson i Eric Doerr z Microsoftu. – Chcemy również podziękować badaczowi, Bobowi Diachenko, za ścisłą współpracę z nami, dzięki czemu mogliśmy szybko naprawić błędną konfigurację, zbadać problem i zacząć odpowiednio powiadamiać klientów. Czas wdrożyć nowe zabezpieczenia Część działań na przyszłość już została zaplanowana. Jest to audyt ustalonych reguł bezpieczeństwa, wdrożenie dodatkowych ostrzeżeń dla zespołów serwisowych w przypadku wykrycia błędnej konfiguracji, poszerzenie zakresu działania mechanizmów wykrywania niewłaściwych konfiguracji reguł oraz wdrożenie dodatkowej automatyzacji zaciemniania danych w bazie. Niewłaściwe konfiguracje reguł bezpieczeństwa daje hakerom pełny dostęp do danych i kont użytkowników. Chroń je za pomocą odpowiednio dobrego antywirusa. Microsoft zaznacza, że baza danych, która w grudniu była przez pewien czas dostępna w sieci bez zabezpieczeń, nie ma związku z danymi klientów jego komercyjnych usług chmurowych. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji