微软周三公告指出,去年12月一个包含2.5亿笔记录的客户数据暴露于网络上,但微软说不包含个人信息,且仅极少数有外泄可能。
这个问题是由安全研究人员Bob Diachenko发现后通报微软。微软调查后发现,原因起于该公司数据库网络安全部门12月9日做了一次数据库变更时,出现安全规则的组态错误,可让未获授权的人士得以访问导致数据暴露。微软接获通知后已在12月31日修正。
曝光的数据库是由5台ElasticSearch服务器集群组成,5台机器数据相同,可能是数据库镜射的设计,它属于微软的客服及支持(Customer Service and Support)的支持案例分析数据库,包含超过2.5亿笔数据。
微软并未说明数据形态,但ZDNet引述Diachenko指出,曝光的数据包括电子邮件、IP地址和客服对话内容。
不过微软说,这些数据不包含客户个人信息,且大部分数据都经过微软自动化工具遮盖(redaction),仅少部分非标准格式的数据,像是邮件信箱中有空白键产生空格的数据未能自动隐藏。微软也已针对这些用户发出通知。
微软表示为防止再发生,已强化内部安全机制,包括对现有内部系统的网络安全规则进行审核,扩大安全规则组态侦测的范围,实例额外的自动化遮盖,并就侦测到安全规则组态问题时,增加对服务部门的警告消息。