包含 14 年客户支援日志的微软云端数据库因错误设定,导致 2.5 亿笔纪录曝露在开放的互联网上长达 25 天。该账户资讯最远可追溯到 2005 年,最近则为 2019 年 12 月,此一错误无疑让微软客户曝露在网络钓鱼和科技型诈骗的风险中。
微软表示,正在通知受影响的客户。Comparitech 安全研究团队表示,他们运行了 5 台已被搜索引擎 BinaryEdge 建立索引的 Elasticsearch 服务器,每台服务器都有一个完全相同的数据库副本。该数据库充斥着大量采明文形式的钓鱼和诈骗就绪资讯,包括:客户电子邮寄地址、IP 位址及实体位置、客户服务索赔和案例描述、案例编号、决议和备注以及标有“机密”的内部纪录(internal note)。
Comparitech 研究员 Paul Bischoff 周三在一篇贴文中写道,简而言之,这构成了网络罪犯能发起一场令受害者深信之大规模诈骗行动所需的一切。
“这些资料对科技型诈骗者尤其有价值,”他表示:“科技型诈骗需要一个诈骗者联系使用者,并假扮成微软服务支援专员。这些类型的诈骗相当普遍,即使诈骗者没有关于他们目标的任何个人资讯,他们也经常冒充微软员工。毕竟,微软 Windows 是世界上最流行的操作系统。”
其他个人身份辨识资讯(Personally Identifiable Information,PII),像是电子邮件别名(Alias)、合约号码,以及最重要的付款资讯皆遭到修改,微软表示,这是透过一个自动化隐私检查过程完成的。
这 5 台服务器全都曝露在开放的互联网上,完全不需要密码就可以存取。研究员 Bob Diachenko 与 Comparitech 公司联手发现了这个配置漏洞,他通知了微软,微软随即在该问题被发现后大约两天内就展开锁定修补的程序。微软和 Comparitech 都表示,目前并没有迹象表明这些不安全的资料是否被其他第三方厂商存取。
微软表示:外泄资料仅限内部数据库,外部云端服务不受影响
22 日,微软在自家官方部落格上公布了更多细节,指出这些资料有长达大约 25 天是完全曝露在互联网上,任何能上网的人都可能加以存取。“我们的调查发现,在 2019 年 12 月 5 日对数据库网络安全性群组所做的变更中包含了错误配置的安全规则,进而导致了资料外泄。”其安全团队写道。
该团队补充指出:“一收到该问题的通知之后,工程师随即在 2019 年 12 月 31 日对该配置进行修补,以限制数据库并防止未经授权的存取。这个问题仅限于用来支援案例分析的内部数据库上,而且不表示我们的商用云端服务会因此有任何外泄的风险。”微软另外指出,它已开始对大约数百万受影响的客户发出通知。
“微软客户和 Windows 使用者应该密切注意任何透过电话和电子邮件的诈骗攻击,”Comparitech 公司 Bischoff 表示:“务必要记住的是,微软从来不会主动接触用户来解决其技术问题,用户必须首先向微软寻求协助。微软员工不会要求输入密码,也不会要求安装 TeamViewer 之类的远端桌面应用程序。这些都是科技诈骗者常见的惯用伎俩。”
“该事件突显出资料安全处理方式上的一些问题,”Acceptto 首席安全架构师 Fausto Oliveira 表示:“如果有效地执行正确的策略和流程,那么这类安全事件应该几乎不可能发生。”
- Microsoft Leaves 250M Customer Service Records Open to the Web
(首图来源:微软)