12

Microsoft i wyciek danych 250 000 000 osób. Jak to możliwe?

Microsoft udostępnił właśnie oficjalnie komunikat, w którym ujawnił, że pod koniec 2019 roku doszło do naprawdę poważnego wycieku danych osobowych.

Poważny incydent z 2019 roku

Firma z Redmond przygotowała na swojej stronie związanej z centrum bezpieczeństwa stosowny artykuł, w którym opisany poważny incydent bezpieczeństwa. Co ciekawe, miał on miejsce w grudniu 2019 roku. We wpisie możemy dowiedzieć się, że Microsoft udostępnił światu bez odpowiedniej ochrony bazę danych obsługi klienta. Przechowywano tam anonimowe analizy użytkowników i te wszystkie informacje były publicznie dostępne od 5 do 31 grudnia. Dlaczego jednak jest to poważna sprawa, mimo że mówimy tu o zanonimizowanych danych?

Mianowicie w sytuacjach, w których użytkownicy złożyli wnioski o wsparcie klienta przy użyciu niestandardowych sformatowanych danych, takich jak imię nazwisko @ domena_pocztowa com system mógł nie wykryć tych danych i ich nie zanonimizować. Cóż, sama firma informuje, że skontaktowała się z poszkodowanymi użytkownikami, jednak trudno mówić tu o zaufaniu.

Baza danych była zainstalowana, bez większego zaskoczenia, w chmurze publicznej Microsoft Azure. Badacz cyberbezpieczeństwa Security Discovery, Bob Diachenko, odkrył tę bazę i zgłosił to Microsoftowi. Publicznie dostępny system składał się z pięciu serwerów pod Elasticsearcha i wydawały się być serwerami lustrzanymi.

W sumie kilka miesięcy temu miał miejsce inny incydent, w którym również baza danych oparta o Elasticsearcha była publicznie dostępna, a miało to miejsce w Ekwadorze:

Delikatne błędy w konfiguracji systemów do przechowywania danych najczęściej kończą się bardzo poważnymi wyciekami danych. Ostatni przykład ze świata dotyczy Ekwadoru. Źródłem informacji stał się nieodpowiednio zabezpieczony serwer ElasticSearcha. ZDNet wraz z dwoma specjalistami z zakresu cyberbezpieczeństwa, Noamem Rotemem i Ranem Locarem, podjęli się analizy udostępnionych danych, ich analizą, weryfikacją oraz skontaktowaniem się z właścicielem nieszczęśliwego serwera.

ElasticSearch miał zaindeksowane dane, w których dało się znaleźć rekordy poświęcone aż 20,8 milionów osób. Jest to nawet więcej niż mieszka w samym Ekwadoru (stan na 2017 rok: 16 777 000 osób, źródło: World Economic Outlook Database, April 2018). Wśród nich mogliśmy poznać imiona, nazwiska, dokładne informacje na temat powiązań rodzinnych, dane finansowe, numer PESEL czy wiadomość na temat zatrudnienia, a należy do tego też dodać treści związane z posiadanymi samochodem. Te informacje zostały pobrane zarówno ze źródeł państwowych, jak i prywatnych baz danych.

Bezpieczeństwo? Tylko w teorii

Microsoft chwali się bezpieczeństwem swojej chmury publicznej. Tymczasem tłumaczą wyciek danych tym, że zostały źle skonfigurowane reguły bezpieczeństwa… Ich chmury Azure. Nie, to nie żart. Firma uczciwie przyznaje się do błędy. Podobno teraz Amerykanie zadbają o audyt wszystkich reguł bezpieczeństwa dla zasobów wewnętrznych i będą je bardziej kompleksowo sprawdzać, a do tego usuwanie danych osobowych ma odbywać się skuteczniej.

Muszę przyznać, że takiej sytuacji nie spodziewałem się po jednym z liderów rynku i firmy, która zarabia przede wszystkim z Azure. Mam nadzieję, że będzie to dla nich dobra nauczka na przyszłość.

źródło: Silence Security