Photo by Robert Scoble on https://www.flickr.com/photos/scobleizer/2264763977 (CC BY 2.0)

微軟周三公告指出,去年12月一個包含2.5億筆紀錄的客戶資料曝露於網路上,但微軟說不包含個資,且僅極少數有外洩可能。

這個問題是由安全研究人員Bob Diachenko發現後通報微軟。微軟調查後發現,原因起於該公司資料庫網路安全部門12月9日做了一次資料庫變更時,出現安全規則的組態錯誤,可讓未獲授權的人士得以存取導致資料曝露。微軟接獲通知後已在12月31日修正。

曝光的資料庫是由5台ElasticSearch伺服器叢集組成,5台機器資料相同,可能是資料庫鏡射的設計,它屬於微軟的客服及支援(Customer Service and Support)的支援案例分析資料庫,包含超過2.5億筆資料。

微軟並未說明資料型態,但ZDNet引述Diachenko指出,曝光的資料包括電子郵件、IP位址和客服對話內容。

不過微軟說,這些資料不包含客戶個資,且大部份資料都經過微軟自動化工具遮蓋(redaction),僅少部份非標準格式的資料,像是郵件信箱中有空白鍵產生空格的資料未能自動隱藏。微軟也已針對這些用戶發出通知。

微軟表示為防止再發生,已強化內部安全機制,包括對現有內部系統的網路安全規則進行稽核,擴大安全規則組態偵測的範圍,實作額外的自動化遮蓋,並就偵測到安全規則組態問題時,增加對服務部門的警告訊息。


Advertisement

更多 iThome相關內容