两亿五千万微软客户的记录被公开

两亿五千万微软客户的记录被公开

微软已确认尚未检测到恶意使用未受保护的数据(路透社)

据发现这一情况的安全研究人员称,在2019年12月的大部分时间里,微软公司将大约四分之一的客户服务和客户支持记录被公开在网上,供任何人查看。
根据与某英国技术新闻网站合作的研究员的说法,他们发现了由5个相同的数据库组成的未受保护的数据,这些数据库含有微软技术支持代理与其客户之间的对话记录。
从2005年到2019年12月,14年的公开记录包括一些客户的电子邮件地址、网络协议地址、网站、投诉性质、案例编号以及技术支持人员的电子邮件。
微软在其网站上发布的通知中称,它已经调查了“内部客户支持数据库中的错误设置”,该公司确认,没有检测到恶意使用这些数据,但是有的客户暴露了个人识别信息。
微软还称,我们希望在此事上,对所有客户透明化,我们会向他们保证,我们会认真对待此事,追究自己的责任。
该公司证实,这一问题仅限于使用支持案例分析的内部数据库,而不是商业云服务。根据技术网站Tom’s Guide报道,这非常重要,因为微软要求修改支持案例分析数据库中存储的数据,以便删除个人信息。
因此,“绝大多数记录”不包含个人信息,其中有大部分已被修改的电子邮件地址。

被公开的是什么样的信息?

不幸的是,如果满足某些条件,某些数据将保持不变。微软引用了一个非标准格式信息的示例,例如在com单词前使用连字符“-”而不是句点“.”的电子邮件地址。
但据该英国技术新闻网站的报道,公开的数据类型超出了电子邮件地址。据安全研究员鲍勃·迪亚琴科称,IP地址、网站、客户投诉描述、支持客户消息、案例编号和标有“秘密”标志的内部注释,至少在某些情况下均未得到保护。
虽然真正的敏感数据已被修改或未首先输入,例如出生日期、信用卡信息或电子邮件别名,但仍可以通过技术支持的欺诈者,使用泄露的数据。
有了这些信息,当诈骗者随机打电话给别人,佯称自己是微软的合法技术支持代理商时,他们的话就更让人相信。例如,他们可以利用从公开数据库中获得的实际案例编号。

如何保护自己?

微软尚未发现任何恶意使用被公开的数据的证据,以及数据库中的敏感信息。 但是,微软客户应对电子邮件欺诈和技术支持欺诈保持警惕。
您必须记住,微软客户永远不会主动联系您,询问您的设备,因此,如果您之前没有联系,您应该有所警惕。

评论

此博客中的热门博文

艾滋病可以通过蚊子传染吗?