Microsoft は水曜日、12 月 29 日にセキュリティ研究者から、2 億 5000 万件の顧客レコードが攻撃に対して脆弱になった大規模なデータベース エラーが同社に通知されたことを明らかにしました。 マイクロソフトはブログ投稿を公開しました これは、脆弱性が「Microsoft サポートのケース分析に使用される内部カスタマー サポート データベースの構成ミス」の結果であると述べていますが、情報が侵害されたという証拠は見つかっていないと主張しています。
同社は、通知から 2 日以内にデータベース エラーの修正を実施し、顧客情報に影響はなかったと考えていると述べています。それでも、マイクロソフトは、データベースに情報が含まれている顧客に通知を開始し、データが侵害された可能性があることを認識しています。
チャールズ・スタンレーは浮気をしましたか
ほとんどの場合、Microsoft によると、個人を特定できる情報はデータベースから削除され、サポート ケースの分析に使用されました。ただし、メールアドレスやその他の個人情報が含まれている場合もあります。
データベースにはサポート ケースに関する情報が含まれていたため、侵害により、詐欺師が Microsoft カスタマー サポート担当者になりすまして、顧客のアカウント、コンピューター、またはデータへのアクセスを試みることが容易になる可能性があります。この種の詐欺は珍しくありませんが、攻撃者が出発点として使用する実際の顧客情報を持っていることはめったにありません。
マイクロソフトは、12 月 5 日にデータベースのセキュリティ ルールが更新されたときに設定ミスが発生し、レコードが公開されたと述べています。同社は顧客情報が侵害されたとは考えていませんが、データは 24 日間公開されていたため、アクセスされた可能性があります。同社は、この種の間違いがあまりにも一般的であると指摘し、顧客に自分のシステム設定を評価するよう勧めています。
残念ながら、構成の誤りは業界全体で一般的なエラーです。この種の間違いを防ぐための解決策はありますが、残念ながら、このデータベースでは有効化されていませんでした。私たちが学んだように、定期的に自分の構成を見直して、利用可能なすべての保護を利用していることを確認することは良いことです。
ピーター・ガンツの純資産 2015
Microsoft 側では、この種の脆弱性を将来的に防止するための変更を実施すると述べています。これらの変更には、会社の「内部リソース用に確立されたネットワーク セキュリティ ルール」の評価と監査、セキュリティ ルールの構成ミスを検出し、発見時にセキュリティ チームに通知するように設計されたメカニズムの実装が含まれます。さらに、同社は、意図しない露出を防ぐために、このタイプのデータベースの個人情報を編集する方法を変更しています。
Microsoft サポートの顧客である場合、おそらく何かをすべきかどうか疑問に思われるでしょう。 Microsoft は、データベースに情報が含まれていた可能性のある顧客に通知していると述べています。
残念なことに、Microsoft の考えは正しいです。適切な保護が行われていない企業が顧客情報を公開している例が多すぎます。実はこの事件は、 マイクロソフトが報告した 2 回目 昨年、顧客情報が漏洩した可能性があること。
また、顧客データの安全性を維持することに問題を抱えているのは Microsoft だけではありません。 フェイスブック 、Equifax などは、注目を集めた攻撃または露出の標的になっています。つまり、自分の情報とプライバシーの保護に注意を払い、責任を負うのはあなた自身です。
つまり、メールや電話が正しくないように見えても、個人情報や会社情報を教えてはいけません。サポートを受けるには常に公式チャネルを使用してください。メールまたは電話での応答を要求していない場合は、すべての通信が疑わしいものとして扱われると想定してください。