Microsoft客户支持暴露了2.5亿用户记录
至少就安全性而言,Microsoft可能不会在今年开始新的一年。就在上周,美国国家安全局(NSA)所有人披露了一个严重的Windows 10漏洞,其后是US-CERT报告,报告了一个被积极利用的Internet Explorer安全漏洞。但是,微软的安全事故可能会更进一步,直到发现新年前夜的客户支持系统在网络上泄漏数百万用户的记录时,这种情况才得以延续。
安全研究人员鲍勃·迪亚琴科(Bob Diachenko)与Comparitech安全部门合作,发现服务器中包含类似的记录,记录了超过2.5亿客户,他们可以追溯到微软的客户服务和支持(CSS)系统。显然,源是一个数据库,任何使用Web浏览器的人都可以打开,不需要密码或身份验证。
幸运的是,在这些记录中删除了个人身份信息或PII,但它们仍然包含足以对受影响的客户造成伤害的足够信息。 2.5亿条记录包括与Microsoft支持代表的对话记录,电子邮件地址,甚至是Microsoft自己的支持代理的电子邮件地址。
值得称赞的是,尽管有假期,微软至少还是迅速采取行动填补了这一漏洞,尽管直到现在所有各方都在披露这一事件。考虑到这不是微软首次违反数据库的探戈,它仍然令人失望,因为它会造成如此明显的错误。
Comparitech警告使用Microsoft客户支持的客户提防潜在的技术支持欺诈。作为一项政策,Microsoft从不联系客户,而是等待客户首先与他们联系以解决技术问题。微软尚未透露将采取什么行动来保护受影响的人。