Microsoft đã thừa nhận đã tiết lộ gần 250 triệu hồ sơ dịch vụ khách hàng do "cấu hình sai cơ sở dữ liệu hỗ trợ khách hàng nội bộ" được sử dụng để theo dõi các trường hợp hỗ trợ bao gồm nhật ký các cuộc hội thoại giữa các đại lý hỗ trợ của Microsoft và khách hàng từ khắp nơi trên thế giới. Tất cả dữ liệu của khách hàng Microsoft đều có thể truy cập được đối với bất kỳ ai có trình duyệt Web, không cần mật khẩu hoặc xác thực khác, nó được báo cáo đầu tiên bởi nhóm nghiên cứu bảo mật so sánh do Bob Diachenko dẫn đầu.
"Mặc dù cuộc điều tra không tìm thấy mục đích sử dụng độc hại và mặc dù hầu hết khách hàng không tiết lộ thông tin cá nhân, chúng tôi muốn minh bạch về sự cố này với tất cả khách hàng và trấn an họ rằng chúng tôi đang rất nghiêm túc và tự chịu trách nhiệm", Ann Johnson , Phó chủ tịch tập đoàn, Tập đoàn giải pháp an ninh mạng tại Microsoft cho biết trong một tuyên bố vào cuối ngày thứ Tư.
Cuộc điều tra của Microsoft đã xác định rằng một thay đổi được thực hiện đối với nhóm bảo mật mạng của cơ sở dữ liệu vào tháng 12 5, 2019 chứa các quy tắc bảo mật được định cấu hình sai cho phép hiển thị dữ liệu.
Theo công ty, các kỹ sư của hãng đã khắc phục cấu hình vào ngày 31 tháng 12 năm 2019 để hạn chế cơ sở dữ liệu và ngăn chặn truy cập trái phép.
"Vấn đề này là cụ thể đối với cơ sở dữ liệu nội bộ được sử dụng để phân tích trường hợp hỗ trợ và không thể hiện sự phơi bày của các dịch vụ đám mây thương mại của chúng tôi", người khổng lồ công nghệ cho biết trong một bài đăng trên blog.
Các hồ sơ chứa nhật ký của các cuộc hội thoại kéo dài trong khoảng thời gian 14 năm từ 2005 đến tháng 12 năm 2019.
"Chúng tôi muốn chân thành xin lỗi và trấn an khách hàng rằng chúng tôi đang nghiêm túc và làm việc chăm chỉ để học hỏi và hành động để ngăn chặn bất kỳ sự tái diễn trong tương lai", Microsoft nói.
Công ty đã cảm ơn Diachenko vì đã giúp nó sửa lỗi cấu hình sai.
"Tôi đã báo cáo ngay lập tức cho Microsoft và trong vòng 24 giờ, tất cả các máy chủ đều được bảo mật", Diachenko nói. "Tôi hoan nghênh nhóm hỗ trợ của MS về khả năng đáp ứng và quay vòng nhanh về vấn đề này bất chấp đêm giao thừa."
Diachenko giải thích rằng hầu hết các thông tin nhận dạng cá nhân "email, số hợp đồng và thông tin thanh toán" đã được xử lý lại.
Tuy nhiên, nhiều hồ sơ chứa dữ liệu văn bản đơn giản, bao gồm nhưng không giới hạn địa chỉ email của khách hàng, địa chỉ IP, địa điểm, email đại lý hỗ trợ của Microsoft, số hồ sơ, độ phân giải và nhận xét và ghi chú nội bộ được đánh dấu là "bí mật".
Theo các nhà nghiên cứu, với nhật ký chi tiết và thông tin trường hợp trong tay, những kẻ lừa đảo có cơ hội thành công hơn trước các mục tiêu của họ.
Nếu những kẻ lừa đảo có được dữ liệu trước khi nó được bảo mật, họ có thể khai thác nó bằng cách mạo danh một nhân viên thực sự của Microsoft và tham khảo số trường hợp thực.
"Khách hàng của Microsoft và Windows Người dùng nên cảnh giác với những trò gian lận như vậy qua điện thoại và email. Hãy nhớ rằng Microsoft không bao giờ chủ động tiếp cận người dùng để giải quyết các vấn đề công nghệ của họ "người dùng phải tiếp cận Microsoft để được giúp đỡ trước", nhóm so sánh cho biết.
Đây không phải là sự cố bảo mật dữ liệu đầu tiên của Microsoft.
Vào năm 2013, tin tặc đã đột nhập vào cơ sở dữ liệu bí mật của công ty để theo dõi các lỗi trong phần mềm của nó.
Từ tháng 1 đến tháng 3 năm 2019, tin tặc đã xâm phạm tài khoản của một đại lý hỗ trợ của Microsoft. Công ty cho biết có khả năng hacker đã truy cập nội dung của một số tài khoản của người dùng Outlook.
