به گزارش کارگروه امنیت سایبربان؛ بهتازگی شرکت مایکروسافت (Microsoft) با انتشار گزارشی از افشای اطلاعات 250 میلیون حساب کاربری مشتریان خود خبر داد. این اتفاق در ماه دسامبر 2019 روی داد و پایگاه داده تحلیلی سرویس پشتیبان مشتریان از 5 دسامبر تا 31 دسامبر در دسترسی عموم قرار گرفت.
خبر افشای اطلاعات را پژوهشگر امنیتی شرکت «Security Discovery» به نام باب دیاچنکو (Bob Diachenko) منتشر کرده است. او لو رفتن اطلاعات را 31 دسامبر به بخش امنیت مایکروسافت گزارش داده و بلافاصله به موضوع رسیدگی شده است.
این پایگاه داده شامل 5 سرور Elasticsearch بوده که هرکدام دادههای یکسانی ذخیره کرده و آیینه هم بودهاند. در این سرورها 250 میلیون حساب کاربری به همراه اطلاعات و گفتگوهای کاربران با بخش پشتیبانی و خدمات مایکروسافت از سال ۲۰۰۵ تا 2019، آدرس ایمیل، آدرس IP، اطلاعات مربوط به خدمات ارائهشده، نگهداری میشدهاند.
مایکروسافت اعلام کرده است بیشتر حسابهای کاربری فاقد اطلاعات شخصی کاربران بوده، چراکه اطلاعات در پایگاه داده تحلیلی با استفاده از ابزارهای پاکسازی خودکار اطلاعات شخصی ویرایش شدهاند و تنها اطلاعات شخصی تعداد معدودی از کاربران که هنگام مراجعه به سرویس پشتیبان، دادههای خود را به شکلی غیراستاندارد ارائه کردهاند، با این ابزارها پاکسازی نشده و در پایگاه داده باقیمانده است که به آنها اطلاعرسانی شده است.
علت افشای این اطلاعات پیکربندیهای اشتباه شبکه Azure و آسیبپذیریهای پایگاه داده ذکرشده است که در حال حاضر برطرف شدهاند.
