Microsoft рассказала об ошибке, в результате которой в свободном доступе в сети оказалось около 250 млн записей центра поддержки компании, пишет Engadget.
В базе содержалась информация о переговорах службы поддержки Microsoft с клиентами всего мира за 14-летний период с 2005 года. Данные лежали на 5 серверах Elasticsearch и не были защищены паролем, а доступ к ним имел любой пользователь сети через браузер.
Проблему обнаружила команда специалистов Comparitech под руководством Боба Дьяченко 29 декабря, о чём незамедлительно уведомили Microsoft. Компания обезопасила серверы в течение суток.
Согласно Comparitech, основная часть персональной информации (например, контакты и платёжные данные) была удалена. Однако во многих случаях в виде текста хранились IP-адреса, электронная почта и местоположения пользователей, номера заявок, описания и решение проблем, email-ы сотрудников техподдержки и внутренние конфиденциальные заметки.
По мнению исследователей, имея в руках эти данные, злоумышленники могли притворяться представителями Microsoft и организовывать фишинговые атаки. Как утверждает компания, признаков того, что базу эксплуатировали в подобных целях, нет.
Компания принесла извинения и заверила, что впредь будет предотвращать такие инциденты. Она собирается усилить внутренние меры безопасности и внедрить новые средства для автоматического удаления персональных данных клиентов. О произошедшем начали уведомлять пользователей, чьи данные находились в базе.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.