Miercuri, Microsoft a dezvăluit că, pe 29 decembrie, un cercetător în securitate a notificat compania cu privire la o eroare masivă a bazei de date care a lăsat 250 de milioane de înregistrări ale clienților vulnerabile la atac. Microsoft a publicat o postare pe blog care spune că vulnerabilitatea a fost rezultatul unei „configurări greșite a unei baze de date interne de asistență pentru clienți utilizată pentru analiza cazurilor de asistență Microsoft”, deși susține că nu a găsit nicio dovadă că informațiile au fost compromise.
Compania a implementat o soluție pentru eroarea bazei de date în termen de două zile după ce a fost notificată și spune că consideră că nu au fost afectate informații despre clienți. Totuși, Microsoft a început să notifice clienții ale căror informații sunt incluse în baza de date, astfel încât să știe că datele lor ar fi putut fi compromise.
nash grier fumează iarbă
În majoritatea cazurilor, Microsoft spune că informațiile de identificare personală au fost redactate din baza de date, care a fost utilizată pentru analiza cazurilor de asistență. Cu toate acestea, în unele cazuri, este posibil să fi fost incluse adrese de e-mail sau alte informații personale.
Deoarece baza de date a inclus informații despre cazurile de asistență, o încălcare ar putea facilita pentru un escroc să identifice personalul de asistență pentru clienți Microsoft și să încerce să obțină acces la contul, computerul sau datele unui client. Aceste tipuri de escrocherii nu sunt neobișnuite, dar rareori un atacator are informații reale despre clienți pe care să le folosească ca loc de plecare.
Microsoft spune că configurarea greșită a avut loc atunci când regulile de securitate pentru baza de date au fost actualizate pe 5 decembrie, determinând expunerea înregistrărilor. În timp ce compania nu crede că a fost încălcată nicio informație despre clienți, datele au fost expuse timp de 24 de zile, ceea ce a dus la posibilitatea ca acestea să fi putut fi accesate. Compania a subliniat că acest tip de greșeală este mult prea frecventă și încurajează clienții să-și evalueze propria configurare a sistemului.
Din păcate, configurările greșite sunt o eroare comună în întreaga industrie. Avem soluții pentru a preveni acest tip de greșeală, dar, din păcate, nu au fost activate pentru această bază de date. După cum am aflat, este bine să vă revizuiți periodic propriile configurații și să vă asigurați că profitați de toate protecțiile disponibile.
averea netă peter gunz 2015
Din partea Microsoft, compania a declarat că implementează modificări pentru a preveni acest tip de vulnerabilitate în viitor. Aceste modificări includ evaluarea și auditul „regulilor de securitate a rețelei stabilite de companie pentru resursele interne”, precum și implementarea mecanismelor concepute pentru a detecta configurările greșite ale regulilor de securitate și pentru a notifica echipele de securitate atunci când sunt descoperite. În plus, compania aduce modificări modului în care redactează informațiile personale pentru acest tip de bază de date pentru a preveni expunerea neintenționată.
Dacă sunteți client de asistență Microsoft, probabil că vă întrebați dacă ar trebui să faceți ceva. Microsoft spune că notifică clienții cărora le-ar fi putut fi incluse informațiile în baza de date.
Din păcate, Microsoft are dreptate - există mult prea multe exemple de informații despre clienți care sunt expuse de companii care nu reușesc să aibă o protecție adecvată. De fapt, acest incident este a doua oară când Microsoft a raportat informațiile despre clienți ar fi putut fi compromise anul trecut.
Și Microsoft cu siguranță nu este singura companie care a avut probleme cu păstrarea securității datelor clienților. Facebook , Equifax și altele au fost ținta atacurilor sau expunerilor de profil înalt. Asta înseamnă că depinde de tine să fii vigilent și să îți asumi responsabilitatea pentru propria informație și protecția vieții private.
Asta înseamnă că merită să ne reamintim că, dacă primiți un e-mail sau un apel telefonic care pur și simplu nu pare corect, nu furnizați nicio informație personală sau de companie. Folosiți întotdeauna canalele oficiale pentru a obține asistență și, dacă nu ați solicitat un răspuns prin e-mail sau apel telefonic, presupuneți că orice comunicare ar trebui tratată cu suspiciune.
