מיקרוסופט, ביום רביעי, גילתה כי ב- 29 בדצמבר, חוקר אבטחה הודיע לחברה על שגיאת מסד נתונים מסיבית שהותירה 250 מיליון רשומות לקוחות חשופות להתקפה. מיקרוסופט פרסמה פוסט בבלוג האומרת כי הפגיעות הייתה תוצאה של 'תצורה שגויה של מסד נתונים פנימי של תמיכת לקוחות המשמש לניתוח תיקים של מיקרוסופט', אם כי לטענתה לא מצאה כל ראיה לכך שהמידע נפגע.
החברה יישמה תיקון לשגיאת מסד הנתונים תוך יומיים לאחר קבלת ההודעה, ולדבריה היא סבורה כי שום מידע על לקוחות לא הושפע. ובכל זאת, מיקרוסופט החלה להודיע ללקוחות שהמידע שלהם נכלל בבסיס הנתונים, כך שהם מודעים לכך שניתן היה לפגוע בנתונים שלהם.
מזל ל-10 באוקטובר
ברוב המקרים, מיקרוסופט אומרת כי מידע המאפשר זיהוי אישי הוסר ממאגר המידע, ששימש לניתוח מקרי תמיכה. אולם במקרים מסוימים, נכללו כתובות דוא'ל או מידע אישי אחר.
מאחר שמאגר המידע כלל מידע אודות מקרי תמיכה, הפרה עלולה להקל על הרמאי להתחזות לאנשי תמיכת הלקוחות של מיקרוסופט ולנסות להשיג גישה לחשבון, מחשב או נתונים של לקוח. סוגים אלה של הונאות אינם נדירים, אך לעיתים רחוקות יש לתוקף מידע אמיתי של הלקוחות שישמש כמקום התחלה.
מיקרוסופט אומרת כי התצורה השגויה התרחשה כאשר כללי האבטחה של מסד הנתונים עודכנו ב -5 בדצמבר וגרמו לחשיפת הרשומות. למרות שהחברה לא מאמינה שפרטי לקוחות כלשהם הופרו, הנתונים נחשפו במשך 24 יום, מה שהוביל לאפשרות שניתן היה לגשת אליו. החברה ציינה כי טעות מסוג זה נפוצה מדי ומעודדת לקוחות להעריך את מערך המערכת שלהם.
תצורות שגויות הן למרבה הצער טעות נפוצה בכל הענף. יש לנו פתרונות שיסייעו במניעת טעות מסוג זה, אך למרבה הצער, הם לא הופעלו עבור מסד נתונים זה. כפי שלמדנו, טוב לבדוק מעת לעת את התצורות שלך ולוודא שאתה מנצל את כל ההגנות הזמינות.
איזה מזל הוא 27 ביולי
מצידה של מיקרוסופט, החברה אמרה שהיא מיישמת שינויים למניעת פגיעות מסוג זה בעתיד. שינויים אלה כוללים הערכה וביקורת של 'כללי אבטחת הרשת שנקבעו למשאבים פנימיים' של החברה, וכן יישום מנגנונים שנועדו לאתר תצורות שגויות של כלל האבטחה ולהודיע לצוותי האבטחה כאשר הם מתגלים. בנוסף, החברה מבצעת שינויים באופן שבו היא מביאה מידע אישי למסד נתונים זה כדי למנוע חשיפה לא מכוונת.
אם אתה לקוח תמיכה של מיקרוסופט, אתה בטח תוהה אם אתה צריך לעשות משהו. מיקרוסופט אומרת כי היא מודיעה ללקוחות שייתכן שהמידע שלהם נכלל במאגר המידע.
למרבה הצער, מיקרוסופט צודקת - יש הרבה יותר מדי דוגמאות לחשיפת מידע על לקוחות על ידי חברות שלא מצליחות להגן עליהן. למעשה, האירוע הזה הוא בפעם השנייה שמיקרוסופט מדווחת שייתכן שמידע הלקוח נפגע בשנה שעברה.
ומיקרוסופט בהחלט אינה החברה היחידה שהייתה לה בעיה לשמור על אבטחת נתוני הלקוחות. פייסבוק , Equifax ואחרים היו המטרה להתקפות או חשיפות ברמה גבוהה. כלומר עליכם להיות עירניים ולקחת אחריות על המידע והגנת הפרטיות שלכם.
פירוש הדבר שכדאי להזכיר לעצמנו שאם אתה מקבל דוא'ל או שיחת טלפון שפשוט לא נראה נכון, אל תמסור שום מידע אישי או חברה. השתמש תמיד בערוצים רשמיים כדי לקבל תמיכה, ואם לא ביקשת תגובה בדוא'ל או שיחת טלפון, הנח שיש להתייחס בחשדנות לכל תקשורת.
