微軟意外曝露 2.5 億筆的客服記錄

該公司宣稱沒有發現被惡意使用的情況。


微軟稍早公開了一個資料庫錯誤事件,導致約 2.5 億筆的客服記錄被曝露在外,可以直接由網頁瀏器查看。這個錯誤是由安全專家 Bob Diachenko 與安全公司 Comparitech 在去年跨年前夕的 12 月 29 日所發現,微軟並已在兩天後補上了漏洞。據稱,問題源自於其中一個內部伺服器「設定錯誤」,同時微軟並沒有發現資料被取得或惡意使用的情況。

被曝露的資料,包括由 2005 年至今所有微軟客服與客戶間的文字對話記錄。雖然說並沒有什麼個資,但依然以純文字儲存了 Email 和 IP 位置等資訊,且沒有以密碼保護。如果有詐騙人士取得這個資料的話,將能更以假亂真地假扮微軟的客服人員吧。微軟已經開始通知受影響的客戶,並且表示「誠摯的歉意」及「將記取教訓並採取能避免未來再次發生類似事件的作為」。除了重新審視內部的安全規則之外,微軟也將增設自動屏蔽客戶敏感資料的工具,且加裝在設定錯誤時自動通知維謢團隊的系統。

這是微軟一年內第二起客服系統的重大失誤,去年四月時曾發生駭客使用客服人員的登入資訊取得客戶 Email 的事件。兩起事件的成因都是因為微軟的內部系統有著太高的權限,讓它們成為駭客眼中的肥肉,如果這次的事件能讓微軟警惕的話,也是件好事吧。

來源: Microsoft

經由: Engadget