Η Microsoft αποκάλυψε σήμερα ένα τεράστιο κενό ασφαλείας που προέκυψε τον περασμένο Δεκέμβριο. Μια εσωτερική βάση δεδομένων που αφορά την εξυπηρέτηση πελατών και αποθήκευε ανώνυμα δεδομένα για τους χρήστες εκτέθηκε καταλάθος διαδικτυακώς, χωρίς προστασία κατά το διάστημα 5 Δεκεμβρίου – 31 Δεκεμβρίου.
Το κενό ασφαλείας εντοπίστηκε και αναφέρθηκε πίσω στη Microsoft από τον Bob Diachenko, έναν αναλυτή ασφαλείας της Security Discovery.
H βάση δεδομένων αποτελείται από 5 Elasticsearch servers, μια τεχνολογία που χρησιμοποιείται για την απλοποίηση των αναζητήσεων. Και οι 5 servers αποθήκευαν τα ίδια δεδομένα. Ο Diachenko ανέφερε ότι η Microsoft ασφάλισε τη βάση δεδομένων την ίδια ημέρα που έκανε την αναφορά ο αναλυτής.
Kudos to MS Security Response team – I applaud the MS support team for responsiveness and quick turnaround on this despite New Year’s Eve. https://t.co/PPLRx9X0h4
— Bob Diachenko (@MayhemDayOne) January 22, 2020
Οι πληροφορίες της συγκεκριμένης βάσης δεδομένων περιλαμβάνουν στοιχεία, όπως emails, διευθύνσεις IP και λεπτομέρειες για την κάθε περίπτωση από 250 εκατομμύρια χρήστες, ενώ ελάχιστα είναι τα προσωπικά στοιχεία που έχουν εκτεθεί.
Η Microsoft αναφέρει ότι η αφαίρεση των προσωπικών πληροφοριών έχει γίνει με αυτοματισμούς που τους επιτρέπουν να διαχειρίζονται τα δεδομένα αυτά, χωρίς να χρειάζονται τα προσωπικά στοιχεία.
Η εταιρεία ξεκίνησε σήμερα να ενημερώνει τους πελάτες της που επηρεάστηκαν και ανέφερε ότι δεν έχει βρει “ίχνη κακόβουλης χρήσης των δεδομένων”.
Επιμέλεια: Παύλος Κρούστης
