Microsoft เปิดเผยเมื่อวันพุธว่าเมื่อวันที่ 29 ธันวาคม นักวิจัยด้านความปลอดภัยได้แจ้งบริษัทถึงข้อผิดพลาดของฐานข้อมูลขนาดใหญ่ ซึ่งทำให้บันทึกของลูกค้า 250 ล้านรายการเสี่ยงต่อการถูกโจมตี Microsoft เผยแพร่บล็อกโพสต์ ที่ระบุว่าช่องโหว่นั้นเป็นผลมาจาก 'การกำหนดค่าฐานข้อมูลการสนับสนุนลูกค้าภายในที่ใช้สำหรับการวิเคราะห์กรณีการสนับสนุนของ Microsoft ไม่ถูกต้อง' แม้ว่าจะอ้างว่าไม่พบหลักฐานใด ๆ ที่แสดงว่าข้อมูลถูกบุกรุก
บริษัทดำเนินการแก้ไขข้อผิดพลาดของฐานข้อมูลภายในสองวันหลังจากที่ได้รับแจ้ง และเชื่อว่าไม่มีข้อมูลลูกค้าได้รับผลกระทบ อย่างไรก็ตาม Microsoft ได้เริ่มแจ้งลูกค้าที่มีข้อมูลอยู่ในฐานข้อมูล เพื่อให้พวกเขาทราบว่าข้อมูลของพวกเขาอาจถูกบุกรุก
legarrette blount น้ำหนักและส่วนสูง
ในกรณีส่วนใหญ่ Microsoft กล่าวว่าข้อมูลส่วนบุคคลที่ระบุตัวบุคคลนั้นถูก redacted จากฐานข้อมูล ซึ่งใช้สำหรับการวิเคราะห์กรณีการสนับสนุน อย่างไรก็ตาม ในบางกรณี ที่อยู่อีเมลหรือข้อมูลส่วนบุคคลอื่นๆ อาจถูกรวมไว้ด้วย
เนื่องจากฐานข้อมูลมีข้อมูลเกี่ยวกับกรณีการสนับสนุน การละเมิดอาจทำให้ผู้หลอกลวงปลอมแปลงเป็นเจ้าหน้าที่ฝ่ายสนับสนุนลูกค้าของ Microsoft และพยายามเข้าถึงบัญชี คอมพิวเตอร์ หรือข้อมูลของลูกค้าได้ง่ายขึ้น การหลอกลวงประเภทนี้ไม่ใช่เรื่องแปลก แต่ผู้โจมตีมักไม่ค่อยมีข้อมูลลูกค้าจริงเพื่อใช้เป็นจุดเริ่มต้น
Microsoft กล่าวว่าการกำหนดค่าผิดพลาดเกิดขึ้นเมื่อกฎความปลอดภัยสำหรับฐานข้อมูลได้รับการอัปเดตในวันที่ 5 ธันวาคม ทำให้ระเบียนถูกเปิดเผย แม้ว่าบริษัทจะไม่เชื่อว่าข้อมูลของลูกค้าถูกละเมิด แต่ข้อมูลดังกล่าวก็ถูกเปิดเผยเป็นเวลา 24 วัน ซึ่งนำไปสู่ความเป็นไปได้ที่จะเข้าถึงได้ บริษัทชี้ให้เห็นว่าข้อผิดพลาดประเภทนี้พบได้บ่อยเกินไป และสนับสนุนให้ลูกค้าประเมินการตั้งค่าระบบของตนเอง
ขออภัย การกำหนดค่าผิดพลาดเป็นข้อผิดพลาดทั่วไปในอุตสาหกรรม เรามีวิธีแก้ปัญหาเพื่อช่วยป้องกันข้อผิดพลาดประเภทนี้ แต่น่าเสียดายที่ฐานข้อมูลนี้ไม่ได้เปิดใช้งาน ตามที่เราได้เรียนรู้ เป็นการดีที่จะตรวจทานการกำหนดค่าของคุณเองเป็นระยะ และตรวจสอบให้แน่ใจว่าคุณได้ใช้ประโยชน์จากการป้องกันทั้งหมดที่มี
Peter Gunz มูลค่าสุทธิปี 2015
ในส่วนของ Microsoft บริษัทได้กล่าวว่ากำลังดำเนินการเปลี่ยนแปลงเพื่อป้องกันช่องโหว่ประเภทนี้ในอนาคต การเปลี่ยนแปลงดังกล่าวรวมถึงการประเมินและตรวจสอบ 'กฎความปลอดภัยเครือข่ายที่กำหนดไว้สำหรับทรัพยากรภายใน' ของบริษัท ตลอดจนการใช้กลไกที่ออกแบบมาเพื่อตรวจจับการกำหนดค่ากฎความปลอดภัยที่ไม่ถูกต้อง และแจ้งให้ทีมรักษาความปลอดภัยทราบเมื่อมีการค้นพบ นอกจากนี้ บริษัทกำลังเปลี่ยนแปลงวิธีการแก้ไขข้อมูลส่วนบุคคลสำหรับฐานข้อมูลประเภทนี้เพื่อป้องกันการเปิดเผยโดยไม่ได้ตั้งใจ
หากคุณเป็นลูกค้าฝ่ายสนับสนุนของ Microsoft คุณอาจสงสัยว่าคุณควรทำอะไรบางอย่างหรือไม่ Microsoft กล่าวว่ากำลังแจ้งลูกค้าที่อาจมีข้อมูลรวมอยู่ในฐานข้อมูล
น่าเสียดายที่ Microsoft พูดถูก มีตัวอย่างมากมายเหลือเกินที่ข้อมูลของลูกค้าถูกเปิดเผยโดยบริษัทที่ไม่มีการป้องกันที่เพียงพอ อันที่จริงเหตุการณ์นี้คือ ครั้งที่สองที่ Microsoft ได้รายงาน ข้อมูลลูกค้าอาจถูกบุกรุกเมื่อปีที่แล้ว
และแน่นอนว่าไม่ใช่บริษัทเดียวที่มีปัญหาในการรักษาข้อมูลลูกค้าให้ปลอดภัย Facebook , Equifax และอื่น ๆ เป็นเป้าหมายของการโจมตีหรือการเปิดเผยรายละเอียดสูง นั่นหมายความว่าเป็นหน้าที่ของคุณที่จะต้องระมัดระวังและรับผิดชอบต่อข้อมูลของคุณเองและการปกป้องความเป็นส่วนตัว
ซึ่งหมายความว่าควรเตือนตัวเองด้วยว่าหากคุณได้รับอีเมลหรือโทรศัพท์ที่ดูเหมือนไม่ถูกต้อง อย่าให้ข้อมูลส่วนตัวหรือข้อมูลบริษัทใดๆ ใช้ช่องทางที่เป็นทางการเพื่อรับการสนับสนุนเสมอ และหากคุณไม่ได้ร้องขอการตอบกลับทางอีเมลหรือโทรศัพท์ ให้ถือว่าการสื่อสารใดๆ ควรได้รับการปฏิบัติด้วยความสงสัย
