Microsoft gab am Mittwoch bekannt, dass ein Sicherheitsforscher das Unternehmen am 29. Dezember über einen massiven Datenbankfehler informierte, der 250 Millionen Kundendatensätze anfällig für Angriffe machte. Microsoft hat einen Blogbeitrag veröffentlicht Darin heißt es, dass die Sicherheitsanfälligkeit das Ergebnis einer 'Fehlkonfiguration einer internen Kundensupportdatenbank, die für die Microsoft Support-Fallanalyse verwendet wird', obwohl keine Beweise dafür gefunden wurden, dass die Informationen kompromittiert wurden.
Das Unternehmen hat den Datenbankfehler innerhalb von zwei Tagen nach der Benachrichtigung behoben und geht davon aus, dass keine Kundeninformationen betroffen waren. Dennoch hat Microsoft damit begonnen, Kunden zu benachrichtigen, deren Informationen in der Datenbank enthalten sind, damit sie wissen, dass ihre Daten kompromittiert worden sein könnten.
wie alt ist alex holley
In den meisten Fällen sagt Microsoft, dass personenbezogene Daten aus der Datenbank entfernt wurden, die für die Analyse von Supportfällen verwendet wurde. In einigen Fällen können jedoch E-Mail-Adressen oder andere persönliche Informationen enthalten sein.
Da die Datenbank Informationen zu Supportfällen enthielt, könnte eine Sicherheitsverletzung es einem Betrüger möglicherweise leichter machen, sich als Microsoft-Kundensupportpersonal auszugeben und zu versuchen, Zugriff auf das Konto, den Computer oder die Daten eines Kunden zu erhalten. Diese Arten von Betrug sind nicht ungewöhnlich, aber selten hat ein Angreifer tatsächliche Kundeninformationen als Ausgangspunkt.
Laut Microsoft trat die Fehlkonfiguration auf, als die Sicherheitsregeln für die Datenbank am 5. Dezember aktualisiert wurden, wodurch die Datensätze offengelegt wurden. Das Unternehmen glaubt zwar nicht, dass Kundeninformationen verletzt wurden, die Daten wurden jedoch 24 Tage lang offengelegt, was zu der Möglichkeit führte, dass auf sie zugegriffen wurde. Das Unternehmen wies darauf hin, dass diese Art von Fehler viel zu häufig vorkommt, und ermutigt Kunden, ihr eigenes System-Setup zu bewerten.
Fehlkonfigurationen sind leider ein häufiger Fehler in der gesamten Branche. Wir haben Lösungen, um diese Art von Fehlern zu vermeiden, aber leider wurden sie für diese Datenbank nicht aktiviert. Wie wir erfahren haben, ist es gut, Ihre eigenen Konfigurationen regelmäßig zu überprüfen und sicherzustellen, dass Sie alle verfügbaren Schutzmaßnahmen nutzen.
Peter Gunz Reinvermögen 2015
Auf Seiten von Microsoft hat das Unternehmen angekündigt, Änderungen vorzunehmen, um diese Art von Schwachstelle in Zukunft zu verhindern. Zu diesen Änderungen gehören die Bewertung und Prüfung der 'festgelegten Netzwerksicherheitsregeln für interne Ressourcen' des Unternehmens sowie die Implementierung von Mechanismen, die dazu dienen, Fehlkonfigurationen von Sicherheitsregeln zu erkennen und Sicherheitsteams zu benachrichtigen, wenn sie entdeckt werden. Darüber hinaus nimmt das Unternehmen Änderungen an der Art und Weise vor, wie personenbezogene Daten für diese Art von Datenbank redigiert werden, um eine unbeabsichtigte Offenlegung zu verhindern.
Wenn Sie ein Microsoft-Supportkunde sind, fragen Sie sich wahrscheinlich, ob Sie etwas tun sollten. Microsoft sagt, dass es Kunden benachrichtigt, deren Informationen möglicherweise in die Datenbank aufgenommen wurden.
Leider hat Microsoft Recht – es gibt viel zu viele Beispiele für Kundeninformationen, die von Unternehmen offengelegt werden, die keinen angemessenen Schutz haben. Tatsächlich ist dieser Vorfall der zum zweiten Mal hat Microsoft berichtet dass Kundeninformationen im letzten Jahr möglicherweise kompromittiert wurden.
Und Microsoft ist sicherlich nicht das einzige Unternehmen, das ein Problem mit der Sicherheit von Kundendaten hatte. Facebook , Equifax und andere waren das Ziel von hochkarätigen Angriffen oder Aufdeckungen. Das bedeutet, dass es an Ihnen liegt, wachsam zu sein und die Verantwortung für Ihre eigenen Informationen und Ihren Datenschutz zu übernehmen.
Das bedeutet, dass wir uns auch daran erinnern sollten, dass Sie keine persönlichen oder Firmeninformationen preisgeben, wenn Sie eine E-Mail oder einen Anruf erhalten, die einfach nicht richtig erscheinen. Verwenden Sie immer die offiziellen Kanäle, um Unterstützung zu erhalten, und wenn Sie keine Antwort per E-Mail oder Telefonanruf angefordert haben, gehen Sie davon aus, dass jede Kommunikation mit Misstrauen behandelt werden sollte.
