微软透露内部客户支持数据库存在安全漏洞


https://www.ispeech.org

微软今天宣布,内部客户支持数据库于2019年12月发生安全漏洞。

该技术公司的声明是通过博客文章对微软安全响应中心博客上周三,1月22日公布。根据该帖子,该漏洞发生在2019年12月5日,涉及“用于Microsoft支持案例分析的内部客户支持数据库的配置错误。”本质上,该漏洞发生在对数据库的网络安全组进行更改时。此更改带有“配置错误的安全规则”,从而导致客户数据泄露。 据ZDNet称 ,受此漏洞影响的服务器“包含大约2.5亿个条目,其中包含诸如电子邮件地址,IP地址和支持案例详细信息之类的信息。”

这种错误配置于2019年12月31日引起了Microsoft的注意,并在当天得到解决。 安全发现的安全研究员Bob Diachenko向Microsoft通知了该漏洞。

根据Microsoft的博客文章,安全漏洞仅涉及“用于支持案例分析的内部数据库”,并且Microsoft坚持认为该漏洞不涉及其商业云服务的暴露。此外,微软对此事的调查发现,“没有恶意使用”,并且在大多数情况下,其客户“没有暴露个人身份信息”。但是有一个警告。尽管由于公司要求通过自动化工具对个人信息进行修改,大多数客户可能不受违规行为的影响,但该技术公司确实表示,由于以下例外情况,某些客户数据可能已暴露于违规行为中:

“在某些情况下,如果满足特定条件,则数据可能仍未编辑。如果信息采用非标准格式(例如,用空格分隔而不是用标准格式写成的电子邮件地址),则会出现这种情况(例如,“ XYZ @contoso com”与“ [email protected]”) 。”

微软表示,对于这些特殊情况,它已开始通知客户其数据可能已在漏洞中暴露。这家软件和技术公司还表示,正在计划实施以下实践,以帮助将来防止此类违规行为:

  • 审核内部资源的已建立网络安全规则。
  • 扩展检测安全规则配置错误的机制的范围。
  • 当检测到安全规则配置错误时,向服务团队添加其他警报。
  • 实施其他修订自动化。

發表評論