Untuk sebagian besar Desember, Microsoft meninggalkan hampir 250 juta catatan layanan pelanggan dan dukungan pelanggan yang terekspos di web bagi siapa saja untuk dilihat. cek juga cctv murah di mbscctv
Peneliti keamanan yang bekerja dengan situs web berita teknologi Inggris Comparitech menemukan data yang tidak terlindungi, yang terdiri dari lima database identik yang memegang log percakapan antara agen dukungan teknologi Microsoft dan pelanggan. seperti yang di tulis di sini
Mencakup 14 tahun (dari 2005 hingga Desember 2019), log yang diekspos termasuk beberapa alamat email pelanggan, alamat IP, lokasi, deskripsi klaim, nomor kasus, dan email agen dukungan.

IdentityForce UltraSecure+Credit: Layanan perlindungan identitas terbaik secara keseluruhan
Microsoft mengatakan telah melakukan penyelidikan terhadap “kesalahan konfigurasi database dukungan pelanggan internal” dalam pemberitahuan yang diposting di situs web Microsoft. Tidak ada penggunaan berbahaya yang ditemukan tetapi pelanggan memiliki “informasi identitas pribadi yang terekspos.”
“Kami ingin transparan tentang insiden ini dengan semua pelanggan dan meyakinkan mereka bahwa kami menanggapinya dengan sangat serius dan meminta pertanggungjawaban diri kami sendiri,” tulis Microsoft.
Bagaimana informasi itu terekspos?
Microsoft mengatakan masalah berasal dari perubahan yang dilakukan pada database pada 5 Desember yang berisi aturan keamanan yang salah dikonfigurasi yang membuat data tidak aman.
Peneliti keamanan Bob Diachenko, yang bekerja dengan Comparitech untuk menemukan database yang tidak terlindungi secara online, memberi tahu Microsoft tentang masalah ini pada 29 Desember dan Microsoft telah mengunci database pada 31 Desember.
Microsoft mengklaim masalah ini terbatas pada database internal yang digunakan untuk analisis kasus dukungan dan bukan layanan cloud komersial. Itu penting karena Microsoft memerlukan data yang disimpan dalam database analitik kasus dukungan untuk diredaksionalkan sehingga informasi pribadi dihapus.
Akibatnya, “sebagian besar catatan” tidak berisi informasi pribadi, termasuk alamat email, yang sebagian besar diredaksikan.
Informasi apa yang dibiarkan terekspos?
Sayangnya, beberapa data dibiarkan tidak diedaksi jika memenuhi kondisi tertentu. Microsoft mengutip contoh informasi dengan format non-standar, seperti alamat email di mana ada spasi alih-alih titik sebelum “com”.
Tetapi jenis data yang diekspos meluas jauh melampaui alamat email, menurut Comparitech. Diachenko mengatakan alamat IP, lokasi, deskripsi klaim, email agen dukungan, nomor kasus dan catatan internal yang ditandai sebagai “rahasia” juga tidak terlindungi dalam setidaknya beberapa kasus.
Meskipun data yang — sensitif tanggal lahir, info kartu kredit atau alias email — diredaksikan atau tidak pernah dimasukkan di tempat pertama, data yang dibiarkan terekspos masih dapat digunakan oleh penipu dukungan teknologi.
Dengan informasi ini, para penipu bisa lebih meyakinkan ketika mereka memanggil orang-orang acak dan mengklaim sebagai agen dukungan teknologi Microsoft yang sah. Misalnya, mereka dapat mengutip nomor kasus aktual yang dikumpulkan dari database yang diekspos.
Apa yang dapat Anda lakukan untuk melindungi diri Anda sendiri
Microsoft tidak menemukan bukti penggunaan berbahaya dari data yang diekspos dan informasi yang terkandung dalam database hanya cukup sensitif. Diachenko hanya memperhatikan database setelah diindeks oleh mesin pencari pada 28 Desember, dan tidak jelas apakah ada orang lain yang melihatnya.
Setiap kali Diachenko dan timnya menemukan database online yang tidak terlindungi, mereka sering tidak dapat mengetahui apakah ada orang lain yang menemukannya sebelum mereka melakukannya, atau mengambil apa pun darinya.
Namun, pelanggan Microsoft harus berhati-hati tentang penipuan phishing email dan penipuan dukungan teknis. Ingat, agen Microsoft tidak akan pernah secara proaktif menghubungi Anda untuk bertanya tentang perangkat Anda, jadi curigalah jika Anda tidak menelepon terlebih dahulu.
Apa yang dilakukan Microsoft untuk mencegah paparan lain?
Microsoft meminta maaf karena gagal mengamankan informasi pelanggan dan berjanji untuk mengambil tindakan lebih lanjut untuk mencegah situasi serupa.
“Kami ingin dengan tulus meminta maaf dan meyakinkan pelanggan kami bahwa kami menganggapnya serius dan bekerja dengan tekun untuk belajar dan mengambil tindakan untuk mencegah terulangnya kembali di masa depan,” tulis perusahaan.
Perusahaan sekarang akan mengaudit aturan keamanan jaringan untuk sumber daya internal, memperluas ruang lingkup mekanisme yang mendeteksi aturan keamanan yang tidak tepat, dan menambahkan lebih banyak layanan peringatan ketika aturan tidak diikuti dengan benar.
Info ini ditulis ulang oleh: mbscctv