首页 > 科技 > > 正文
2020-02-07 19:25:31

微软披露客户支持数据库的安全漏洞

微软今天披露了上个月于2019年12月发生的安全漏洞。

在今天的博客中,这家操作系统制造商表示,在12月5日至12月31日之间,没有适当保护的情况下,内部存储了匿名用户分析数据的内部客户支持数据库意外地在线暴露了出来。

安全发现的安全研究员Bob Diachenko发现了该数据库并将其报告给Microsoft。

Diachenko 今天告诉ZDNet,泄漏的客户支持数据库由五台Elasticsearch服务器组成,这是一种用于简化搜索操作的技术。所有五台服务器都存储了相同的数据,看起来是彼此的镜像。

迪亚琴科说,尽管微软已经跨年平安夜,但微软仍在向操作系统制造商报告该问题的同一天,保护了暴露的数据库。

迪亚琴科对ZDNet表示: “我一直在与Microsoft团队保持联系,以帮助和支持他们进行适当的调查。”

这些服务器包含大约2.5亿个条目,其中包含诸如电子邮件地址,IP地址和支持案例详细信息之类的信息。微软表示,大多数记录不包含任何个人用户信息。

微软说:“作为微软标准操作程序的一部分,使用自动化工具删除了支持案例分析数据库中存储的数据,以删除个人信息。”

但是,如果用户使用非标准格式的数据提交客户支持请求,例如(“名称姓氏@电子邮件域com”而不是“ name.surname@email.com”),则不会检测到并删除该数据并将其保留在公开的数据库。

对于这些情况,微软表示,尽管今天还“发现没有恶意使用”数据,但它今天开始通知受影响的客户。

微软将服务器意外泄漏归咎于其在12月5日部署的配置错误的Azure安全规则,该规则现已修复。泄漏之后,微软表示现在是:

审核内部资源的已建立网络安全规则。

扩展检测安全规则配置错误的机制的范围。

当检测到安全规则配置错误时,向服务团队添加其他警报。

实施其他修订自动化。