微軟 5 台 Elasticsearch 伺服器變更設定錯誤,2.5 億筆客戶服務紀錄網上看光光

作者 | 發布日期 2020 年 01 月 24 日 23:18 | 分類 Microsoft , 網路 , 資訊安全 follow us in feedly


包含 14 年客戶支援日誌的微軟雲端資料庫因錯誤設定,導致 2.5 億筆紀錄曝露在開放的網際網路上長達 25 天。該帳戶資訊最遠可追溯到 2005 年,最近則為 2019 年 12 月,此一錯誤無疑讓微軟客戶曝露在網路釣魚和科技型詐騙的風險中。

微軟表示,正在通知受影響的客戶。Comparitech 安全研究團隊表示,他們運行了 5 台已被搜尋引擎 BinaryEdge 建立索引的 Elasticsearch 伺服器,每台伺服器都有一個完全相同的資料庫副本。該資料庫充斥著大量採明文形式的釣魚和詐騙就緒資訊,包括:客戶電子郵寄地址、IP 位址及實體位置、客戶服務索賠和案例描述、案例編號、決議和備註以及標有「機密」的內部紀錄(internal note)。

Comparitech 研究員 Paul Bischoff 週三在一篇貼文中寫道,簡而言之,這構成了網路罪犯能發起一場令受害者深信之大規模詐騙行動所需的一切。

「這些資料對科技型詐騙者尤其有價值,」他表示:「科技型詐騙需要一個詐騙者聯繫使用者,並假扮成微軟服務支援專員。這些類型的詐騙相當普遍,即使詐騙者沒有關於他們目標的任何個人資訊,他們也經常冒充微軟員工。畢竟,微軟 Windows 是世界上最流行的作業系統。」

其他個人身分辨識資訊(Personally Identifiable Information,PII),像是電子郵件別名(Alias)、合約號碼,以及最重要的付款資訊皆遭到修改,微軟表示,這是透過一個自動化隱私檢查過程完成的。

這 5 台伺服器全都曝露在開放的網際網路上,完全不需要密碼就可以存取。研究員 Bob Diachenko 與 Comparitech 公司聯手發現了這個配置漏洞,他通知了微軟,微軟隨即在該問題被發現後大約兩天內就展開鎖定修補的程序。微軟和 Comparitech 都表示,目前並沒有跡象表明這些不安全的資料是否被其他第三方廠商存取。

微軟表示:外洩資料僅限內部資料庫,外部雲端服務不受影響

22 日,微軟在自家官方部落格上公布了更多細節,指出這些資料有長達大約 25 天是完全曝露在網際網路上,任何能上網的人都可能加以存取。「我們的調查發現,在 2019 年 12 月 5 日對資料庫網路安全性群組所做的變更中包含了錯誤配置的安全規則,進而導致了資料外洩。」其安全團隊寫道。

該團隊補充指出:「一收到該問題的通知之後,工程師隨即在 2019 年 12 月 31 日對該配置進行修補,以限制資料庫並防止未經授權的存取。這個問題僅限於用來支援案例分析的內部資料庫上,而且不表示我們的商用雲端服務會因此有任何外洩的風險。」微軟另外指出,它已開始對大約數百萬受影響的客戶發出通知。

「微軟客戶和 Windows 使用者應該密切注意任何透過電話和電子郵件的詐騙攻擊,」Comparitech 公司 Bischoff 表示:「務必要記住的是,微軟從來不會主動接觸用戶來解決其技術問題,用戶必須首先向微軟尋求協助。微軟員工不會要求輸入密碼,也不會要求安裝 TeamViewer 之類的遠端桌面應用程式。這些都是科技詐騙者常見的慣用伎倆。」

「該事件突顯出資料安全處理方式上的一些問題,」Acceptto 首席安全架構師 Fausto Oliveira 表示:「如果有效地執行正確的策略和流程,那麼這類安全事件應該幾乎不可能發生。」

(首圖來源:微軟