Microsoft早前在其網誌上表示因配置錯誤,致使一個供內部案例分析使用的客戶支援數據庫於2019年12月5日至31日期間在網上意外曝光。雖然Microsoft並沒有詳細透露相關數據庫的規模,但據外國一個消費者網站Comparitech指出,有2.5億條Microsoft支援人員與全球客戶之間的對話外洩,涉及時間橫跨2005年至2019年12月,長達十四年。
Microsoft 在收到有關通知後已經加強保護這些數據,同時表示洩露了的數據中並沒有包含客戶的個人資料。然而,該公司在網誌中亦承認了在某些情況下,部分數據仍未被隱去。例如那些錯被加入空格的電郵地址 (即是[email protected] 變成了XYZ[空格]@contoso com)。Microsoft表示已開始通知受影響的客戶。
網絡安全廠商Sophos的首席研究科學家Paul Ducklin就事件提出意見:「數以億計的記錄已經對外曝光,但看來外洩的數據庫僅存有少數可辨識出的電郵地址。換言之,絕大部分人都不會收到由Microsoft發出的警告信息,反而有機會接到不法份子偽冒Microsoft送出的通知電郵。」
因此,Paul提醒大家即使相信收到的安全警告是真確的,也切勿點擊電郵內任何連結,以防止自己誤訪釣魚網站,又或者將密碼交給了心懷不軌的人。大家務必自行到日常登入的網站,更不要因感到不安或受寄件人說服而採用由電郵提供的聯絡資料。
詳情可參閱Paul撰寫的Naked Security文章:https://nakedsecurity.sophos.com/2020/01/22/big-microsoft-data-breach-250-million-records-exposed/
這篇文章 Microsoft意外曝露 2.5 億條客戶支援記錄? 最早出現於 TechApple.com。