Popüler bir siber güvenlik araştırmacısı olan Bob Diachenko, kişisel bazı bilgilerle birlikte 250 milyondan fazla müşteri destek kaydı içeren korumasız bir veritabanı keşfetmiştir. Korumasız veritabanı, 2005’ten Aralık 2019’a kadar Microsoft teknoloji devine sunulan destek taleplerini içermektedir.
Microsoft, destek ekibi ile müşterileri arasındaki konuşma günlüklerini içeren, yanlış yapılandırılmış bir sunucu nedeniyle Müşteri Hizmetleri ve Destek (CSS) kayıtlarının erişilebilir olduğunu doğrulamıştır.
Microsoft bu durumu “Bugün, Microsoft destek örneği analizi için kullanılan dahili veritabanının yanlış yapılandırılmasıyla ilgili bir araştırma yaptık. Araştırmada kötü amaçlı bir kullanım bulunamadı. Çoğu müşterinin kişisel bilgileri açık olmamasına rağmen, bu olay hakkında tüm müşterilerle şeffaf olmak istiyoruz. Ayrıca müşterilerin onları ciddiye aldığımızdan ve kendimizi sorumlu tuttuğumuzdan emin olmalarını istiyoruz.” şeklinde açıklamıştır.
Microsoft, veritabanını 31 Aralık 2019’da daha güvenli hale getirdiğini ve verilerin kötü amaçlı kullanımından haberdar olmadığını açıklamıştır.
Diachenko, aşağıdaki özellikleri içeren birçok kaydın varlığından bahsetmiştir:
- Müşteri e-posta adresleri
- IP adresleri
- Adresler
- CSS iddialarının ve vakalarının açıklamaları
- Microsoft destek aracısı e-postaları
- Vaka numaraları, çözünürlükler ve açıklamalar
- “Gizli” olarak işaretlenmiş notlar
Microsoft, müşterilerinin kişisel bilgilerini veritabanından kaldırmak için otomatik araçlar kullandığını ancak bazı durumlarda standart bir biçim olmadığından bu bilgilerin kaldırılmadığını açıklamıştır.
Diachenko: “Kişisel bilgilerin çoğu kayıtlardan çıkarılmış olsa da bu maruziyetin tehlikeleri göz ardı edilmemelidir. Veriler, özellikle teknik destek dolandırıcıları için değerli olabilir. ” açıklamasını yapmıştır.
Microsoft’un veri sızıntısından etkilendikten sonra aldığı aksiyonlar aşağıdaki gibidir:
- 28 Aralık 2019 – Veritabanları BinaryEdge arama motoru tarafından dizine eklenmiştir.
- 29 Aralık 2019 – Diachenko, veritabanlarını keşfetmiş ve hemen Microsoft’u bilgilendirmiştir.
- 30-31 Aralık 2019 – Teknoloji devi, sunucuları ve verileri güven altına almıştır. Diachenko ve Microsoft, soruşturma ve iyileştirme sürecine devam etmişlerdir.
- 21 Ocak 2020 – Microsoft, soruşturma sonucunda ek ayrıntılar açıklamıştır.
