APP下载

微软客户数据库组态错误导致资料曝光

消息来源:baojiabao.com 作者: 发布时间:2024-03-29

报价宝综合消息微软客户数据库组态错误导致资料曝光

Photo by Robert Scoble on https://www.flickr.com/photos/scobleizer/2264763977 (CC BY 2.0)

微软周三公告指出,去年12月一个包含2.5亿笔纪录的客户资料曝露于网络上,但微软说不包含个资,且仅极少数有外泄可能。

这个问题是由安全研究人员Bob Diachenko发现后通报微软。微软调查后发现,原因起于该公司数据库网络安全部门12月9日做了一次数据库变更时,出现安全规则的组态错误,可让未获授权的人士得以存取导致资料曝露。微软接获通知后已在12月31日修正。

曝光的数据库是由5台ElasticSearch服务器丛集组成,5台机器资料相同,可能是数据库镜射的设计,它属于微软的客服及支援(Customer Service and Support)的支援案例分析数据库,包含超过2.5亿笔资料。

微软并未说明资料型态,但ZDNet引述Diachenko指出,曝光的资料包括电子邮件、IP地址和客服对话内容。

不过微软说,这些资料不包含客户个资,且大部分资料都经过微软自动化工具遮盖(redaction),仅少部分非标准格式的资料,像是邮件信箱中有空白键产生空格的资料未能自动隐藏。微软也已针对这些用户发出通知。

微软表示为防止再发生,已强化内部安全机制,包括对现有内部系统的网络安全规则进行稽核,扩大安全规则组态侦测的范围,实作额外的自动化遮盖,并就侦测到安全规则组态问题时,增加对服务部门的警告讯息。

2020-01-23 18:07:00

相关文章