250 mln danych klientów Microsoftu trafiło do sieci. Baza nie miała hasła Strona główna Aktualności23.01.2020 11:41 Baza danych Microsoftu była dostępna w internecie bez zabezpieczeń, fot. Getty Images Udostępnij: O autorze Oskar Ziomek @o.zio 250 milionów rekordów z bazy danych o klientach Microsoftu było dostępnych dla każdego bez hasła. Tak potężna wpadka to efekt niewłaściwej konfiguracji reguł bezpieczeństwa stosowanych w środowisku Azure. Microsoft informuje o zakończonym śledztwie i zapewnia, że dane nie zostały wykorzystane przez osoby trzecie, a wszystko dotyczy tylko wewnętrznej bazy związanej z pracą pomocy technicznej. Nieco inaczej sprawa wygląda z punktu widzenia badaczy bezpieczeństwa z firmy Comparitech. Bob Diachenko, pod którego przewodnictwem analizowano ten przypadek, 29 grudnia 2019 roku odkrył bazę Microsoftu, do której można się było dostać bez hasła i mógł to zrobić w zasadzie każdy. Reguły zabezpieczeń Microsoftu mają tylko kilka kluczowych właściwości, źródło: Microsoft. Wśród danych można było dotrzeć między innymi do zapisanych wprost adresów e-mail, lokalizacji czy adresów IP użytkowników korzystających z pomocy technicznej Microsoftu, a także dzienników rozmów z klientami obejmujących okres od 2005 do 2019 roku. Jak dowiadujemy się z informacji Comparitech, zaraz po wykryciu problemu Microsoft został o nim poinformowany. Od tego momentu obydwie firmy współpracowały podczas procesu ponownego zabezpieczania bazy, co udało się zrobić już w kolejnych dwóch dniach. Dodatkowe szczegóły całego zajścia zostały jednak opublikowane przez Microsoft dopiero teraz, po zakończonym dochodzeniu. Microsoft nie umywa rąk W swojej publikacji na blogu Microsoft informuje o szczegółach i już na wstępie zapewnia, że traktuje sprawę poważnie i bierze za nią pełną odpowiedzialność. Dodaje przy tym, że dane w bazie są na bieżąco cenzurowane przy użyciu automatycznych narzędzi mających na celu ochronę danych osobowych i większość z nich została w ten sposób zabezpieczona. Wynika więc z tego, że pozostała część to te informacje o klientach, o których dostępności wspomina Comparitech. – Pragniemy szczerze przeprosić i zapewnić naszych klientów, że traktujemy to poważnie i uważnie pracujemy, by wyciągnąć wnioski i podjąć działania, aby zapobiec ponownemu wystąpieniu w przyszłości – tłumaczą we wpisie Ann Johnson i Eric Doerr z Microsoftu. – Chcemy również podziękować badaczowi, Bobowi Diachenko, za ścisłą współpracę z nami, dzięki czemu mogliśmy szybko naprawić błędną konfigurację, zbadać problem i zacząć odpowiednio powiadamiać klientów. Czas wdrożyć nowe zabezpieczenia Część działań na przyszłość już została zaplanowana. Jest to audyt ustalonych reguł bezpieczeństwa, wdrożenie dodatkowych ostrzeżeń dla zespołów serwisowych w przypadku wykrycia błędnej konfiguracji, poszerzenie zakresu działania mechanizmów wykrywania niewłaściwych konfiguracji reguł oraz wdrożenie dodatkowej automatyzacji zaciemniania danych w bazie. Niewłaściwe konfiguracje reguł bezpieczeństwa daje hakerom pełny dostęp do danych i kont użytkowników. Chroń je za pomocą odpowiednio dobrego antywirusa. Microsoft zaznacza, że baza danych, która w grudniu była przez pewien czas dostępna w sieci bez zabezpieczeń, nie ma związku z danymi klientów jego komercyjnych usług chmurowych. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także 763 mln adresów w bazie bez hasła i nieuchwytna firma. Jak tu nie mieć paranoi? 11 mar 2019 Anna Rymsza Internet Bezpieczeństwo 21 Microsoft po cichu usuwa z internetu ogromną bazę danych rozpoznawania twarzy 7 cze 2019 Piotr Urbaniak Internet Bezpieczeństwo 43 Wyciek danych w morele.net. Włamywacze wrzucili bazę danych do sieci 17 kwi 2019 Adam Bednarek Internet 134 Kaspersky Password Manager – nowa wersja sprawdzi, czy twoje hasła wyciekły do sieci 11 mar 2019 Oskar Ziomek Oprogramowanie Bezpieczeństwo 32
Udostępnij: O autorze Oskar Ziomek @o.zio 250 milionów rekordów z bazy danych o klientach Microsoftu było dostępnych dla każdego bez hasła. Tak potężna wpadka to efekt niewłaściwej konfiguracji reguł bezpieczeństwa stosowanych w środowisku Azure. Microsoft informuje o zakończonym śledztwie i zapewnia, że dane nie zostały wykorzystane przez osoby trzecie, a wszystko dotyczy tylko wewnętrznej bazy związanej z pracą pomocy technicznej. Nieco inaczej sprawa wygląda z punktu widzenia badaczy bezpieczeństwa z firmy Comparitech. Bob Diachenko, pod którego przewodnictwem analizowano ten przypadek, 29 grudnia 2019 roku odkrył bazę Microsoftu, do której można się było dostać bez hasła i mógł to zrobić w zasadzie każdy. Reguły zabezpieczeń Microsoftu mają tylko kilka kluczowych właściwości, źródło: Microsoft. Wśród danych można było dotrzeć między innymi do zapisanych wprost adresów e-mail, lokalizacji czy adresów IP użytkowników korzystających z pomocy technicznej Microsoftu, a także dzienników rozmów z klientami obejmujących okres od 2005 do 2019 roku. Jak dowiadujemy się z informacji Comparitech, zaraz po wykryciu problemu Microsoft został o nim poinformowany. Od tego momentu obydwie firmy współpracowały podczas procesu ponownego zabezpieczania bazy, co udało się zrobić już w kolejnych dwóch dniach. Dodatkowe szczegóły całego zajścia zostały jednak opublikowane przez Microsoft dopiero teraz, po zakończonym dochodzeniu. Microsoft nie umywa rąk W swojej publikacji na blogu Microsoft informuje o szczegółach i już na wstępie zapewnia, że traktuje sprawę poważnie i bierze za nią pełną odpowiedzialność. Dodaje przy tym, że dane w bazie są na bieżąco cenzurowane przy użyciu automatycznych narzędzi mających na celu ochronę danych osobowych i większość z nich została w ten sposób zabezpieczona. Wynika więc z tego, że pozostała część to te informacje o klientach, o których dostępności wspomina Comparitech. – Pragniemy szczerze przeprosić i zapewnić naszych klientów, że traktujemy to poważnie i uważnie pracujemy, by wyciągnąć wnioski i podjąć działania, aby zapobiec ponownemu wystąpieniu w przyszłości – tłumaczą we wpisie Ann Johnson i Eric Doerr z Microsoftu. – Chcemy również podziękować badaczowi, Bobowi Diachenko, za ścisłą współpracę z nami, dzięki czemu mogliśmy szybko naprawić błędną konfigurację, zbadać problem i zacząć odpowiednio powiadamiać klientów. Czas wdrożyć nowe zabezpieczenia Część działań na przyszłość już została zaplanowana. Jest to audyt ustalonych reguł bezpieczeństwa, wdrożenie dodatkowych ostrzeżeń dla zespołów serwisowych w przypadku wykrycia błędnej konfiguracji, poszerzenie zakresu działania mechanizmów wykrywania niewłaściwych konfiguracji reguł oraz wdrożenie dodatkowej automatyzacji zaciemniania danych w bazie. Niewłaściwe konfiguracje reguł bezpieczeństwa daje hakerom pełny dostęp do danych i kont użytkowników. Chroń je za pomocą odpowiednio dobrego antywirusa. Microsoft zaznacza, że baza danych, która w grudniu była przez pewien czas dostępna w sieci bez zabezpieczeń, nie ma związku z danymi klientów jego komercyjnych usług chmurowych. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji