Microsoft признала утечку 250 млн единиц пользовательских данных
Microsoft завершила расследование утечки пользовательских данных со своих серверов. Она случилась в декабре 2019 года и раскрыла 250 млн единиц информации о пользователях, сообщается в блоге Microsoft Security Response Center.
Источником утечки стала внутренняя база данных, используемая в службе поддержки пользователей. В ней хранилась анонимная аналитика о клиентах. Открытую доступность этой базы заметил исследователь компании Security Discovery Боб Дяченко.
База данных находлась на кластере из пяти серверов, которые представляли собой зеркала и содержали одинаковую информацию. В ней содержались такие данные как адреса электронной почты, IP-адреса, информация о проблеме, с которой обращался пользователь.
В Microsoft сообщили, что данные в подобных базах редактируются автоматически, удаляя персональную информацию. Однако для этого обратившийся в поддержку пользователь должен был использовать стандартные форматы, что происходило не всегда. В таких случаях данные не редактировались и оставались в базе данных, став доступными публично.
Эксперты Microsoft называют причиной утечки неправильную конфигурацию безопасности серверов Azure, которую применили в начале декабря. Сейчас проблему исправили.