I slutten av desember oppdaget sikkerhetsforskere hos Comparitech at fem tilsynelatende identiske Elasticsearch-servere var blitt eksponert på weben og tilgjengelig uten noen form for innlogging eller autentisering. På serverne lå det rundt 250 millioner databaseoppføringer som inneholdt informasjon om samtaler mellom supportpersonell i Microsoft og selskapets kunder.
Oppføringene var fra perioden 2005 til desember 2019.
Stengt etter få dager
Ifølge et blogginnlegg som Comparitech har skrevet om hendelsen, skal databasene bare ha vært åpent tilgjengelige i rundt to dager* før tilgangen ble stengt i løpet av den 30. og 31. desember, etter at sikkerhetsforskeren Bob Diachenko hadde varslet Microsoft.
_logo.svg.png){kind=logo}
– Jeg varslet Microsoft umiddelbart om dette, og innen 24 timer var alle serverne sikret. Jeg applauderer supportteamet i Microsoft for rask respons og snuoperasjon, selv om det var nyttårsaften, sier Diachenko i en uttalelse.
Det er uklart om noen andre enn Comparitech kan ha fått tilgang til dataene i mellomtiden.
Dataene kan misbrukes
Dataene skal i liten grad ha inneholdt informasjon som kan identifisere enkeltpersoner. Men den skal ha inkludert e-postadresser til kunder og supportansatte, IP-adresser, stedsinformasjon, detaljer om bakgrunnen for henvendelsene, saksnumre, løsninger og interne notater merket «konfidensielt».
Varslet i 2020: Nå må Politiets IT-tjeneste rydde opp
Comparitech mener dette kan være nok til at svindlere som presenterer seg som representanter for Microsofts supportapparat har bedre mulighet til å framstå som mer troverdige, siden de kan vise til virkelige supporthenvendelser fra ofrene.
Men som nevnt, er det ikke kjent om andre enn Comparitech oppdaget at dataene var fritt tilgjengelige.
– Vi er takknemlige overfor Bob Diachenko som har samarbeidet tett med oss slik at vi raskt har kunnet fikse denne feilkonfigureringen, analyser dataene og varsler kunder etter behov, sier Eric Doeer, leder for Microsoft Security Response Center, i en uttalelse som Comparitech har gjengitt.
Diachenko jobber spesifikt med å finne databaser som er eksponert på weben. I blogginnlegget nevnes en rekke tilfeller i 2019 hvor han og hans team har funnet åpent tilgjengelige databaser med person- eller kundeopplysninger.
* Etter publiseringen av denne saken, har Microsoft kommet med en kunngjøring hvor det opplyses at perioden som dataene var åpent tilgjengelige i, startet allerede den 5. desember, ikke den 28. desember slik Comparitech antydet.
Maskinlæring trent på krypterte data: – Et stort gjennombrudd innen personvernbevarende beregninger
