Microsoft maakte woensdag bekend dat een beveiligingsonderzoeker het bedrijf op 29 december op de hoogte had gesteld van een enorme databasefout waardoor 250 miljoen klantrecords kwetsbaar waren voor aanvallen. Microsoft heeft een blogpost gepubliceerd die zegt dat de kwetsbaarheid het resultaat was van een 'verkeerde configuratie van een interne klantenondersteuningsdatabase die wordt gebruikt voor analyse van Microsoft Support-cases', hoewel het beweert dat het geen bewijs heeft gevonden dat de informatie is gecompromitteerd.
Het bedrijf heeft een oplossing voor de databasefout geïmplementeerd binnen twee dagen nadat het op de hoogte was gesteld, en zegt dat het van mening is dat er geen klantinformatie is aangetast. Toch is Microsoft begonnen met het informeren van klanten van wie de informatie in de database is opgenomen, zodat ze zich ervan bewust zijn dat hun gegevens gecompromitteerd kunnen zijn.
is Jordan Knight nog steeds getrouwd?
In de meeste gevallen zegt Microsoft dat persoonlijk identificeerbare informatie is geredigeerd uit de database, die werd gebruikt voor het analyseren van ondersteuningscases. In sommige gevallen kunnen echter e-mailadressen of andere persoonlijke informatie zijn opgenomen.
Aangezien de database informatie over ondersteuningszaken bevatte, zou een inbreuk het voor een oplichter mogelijk gemakkelijker kunnen maken om zich voor te doen als Microsoft-klantenondersteuningspersoneel en proberen toegang te krijgen tot het account, de computer of de gegevens van een klant. Dit soort oplichting is niet ongewoon, maar zelden heeft een aanvaller echte klantinformatie om als uitgangspunt te gebruiken.
Microsoft zegt dat de verkeerde configuratie optrad toen de beveiligingsregels voor de database op 5 december werden bijgewerkt, waardoor de records zichtbaar werden. Hoewel het bedrijf niet gelooft dat er gegevens van klanten zijn geschonden, werden de gegevens 24 dagen lang blootgesteld, wat leidde tot de mogelijkheid dat er toegang tot was verkregen. Het bedrijf wees erop dat dit soort fouten veel te vaak voorkomen en moedigt klanten aan om hun eigen systeemconfiguratie te evalueren.
Verkeerde configuraties zijn helaas een veel voorkomende fout in de hele branche. We hebben oplossingen om dit soort fouten te voorkomen, maar helaas waren deze niet ingeschakeld voor deze database. Zoals we hebben geleerd, is het goed om regelmatig uw eigen configuraties te bekijken en ervoor te zorgen dat u alle beschikbare beveiligingen benut.
peter gunz netto waarde 2015
Van de kant van Microsoft heeft het bedrijf gezegd dat het wijzigingen doorvoert om dit soort kwetsbaarheden in de toekomst te voorkomen. Die wijzigingen omvatten het evalueren en controleren van de 'vastgestelde netwerkbeveiligingsregels voor interne bronnen' van het bedrijf, evenals het implementeren van mechanismen die zijn ontworpen om onjuiste configuraties van beveiligingsregels te detecteren en beveiligingsteams op de hoogte te stellen wanneer ze worden ontdekt. Bovendien brengt het bedrijf wijzigingen aan in de manier waarop het persoonlijke informatie voor dit type database redigert om onbedoelde blootstelling te voorkomen.
Als u een Microsoft Support-klant bent, vraagt u zich waarschijnlijk af of u iets moet doen. Microsoft zegt dat het klanten op de hoogte brengt van wie hun informatie mogelijk in de database is opgenomen.
Helaas heeft Microsoft gelijk: er zijn veel te veel voorbeelden van klantinformatie die openbaar wordt gemaakt door bedrijven die niet over voldoende bescherming beschikken. In feite is dit incident de tweede keer dat Microsoft heeft gerapporteerd dat klantinformatie vorig jaar mogelijk is gecompromitteerd.
En Microsoft is zeker niet het enige bedrijf dat problemen heeft gehad met het beveiligen van klantgegevens. Facebook , Equifax en anderen zijn het doelwit geweest van spraakmakende aanvallen of blootstellingen. Dat betekent dat het aan u is om waakzaam te zijn en verantwoordelijkheid te nemen voor uw eigen informatie en privacybescherming.
Dat betekent dat het ook de moeite waard is om onszelf eraan te herinneren dat als u een e-mail of telefoontje ontvangt dat niet juist lijkt, u geen persoonlijke of bedrijfsinformatie vrijgeeft. Gebruik altijd officiële kanalen om ondersteuning te krijgen, en als u geen reactie op een e-mail of telefoontje hebt gevraagd, ga er dan van uit dat elke communicatie met argwaan moet worden behandeld.
