SIKKERHET

Microsoft eksponerte database med  mange millioner kunde­støtte­henvendelser

Ble heldigvis fjernet etter noen få dager.

Databaseoppføringer om millioner av kundestøttehenvendelser til Microsoft lå åpent tilgjengelig på weben.
Databaseoppføringer om millioner av kundestøttehenvendelser til Microsoft lå åpent tilgjengelig på weben. Skjermbilde: digi.no
Harald BrombachHarald BrombachNyhetsleder
22. jan. 2020 - 13:45 | Endret 23. jan. 2020 - 07:45

I slutten av desember oppdaget sikkerhetsforskere hos Comparitech at fem tilsynelatende identiske Elasticsearch-servere var blitt eksponert på weben og tilgjengelig uten noen form for innlogging eller autentisering. På serverne lå det rundt 250 millioner databaseoppføringer som inneholdt informasjon om samtaler mellom supportpersonell i Microsoft og selskapets kunder. 

Oppføringene var fra perioden 2005 til desember 2019. 

Stengt etter få dager

Ifølge et blogginnlegg som Comparitech har skrevet om hendelsen, skal databasene bare ha vært åpent tilgjengelige i rundt to dager* før tilgangen ble stengt i løpet av den 30. og 31. desember, etter at sikkerhetsforskeren Bob Diachenko hadde varslet Microsoft.

– Jeg varslet Microsoft umiddelbart om dette, og innen 24 timer var alle serverne sikret. Jeg applauderer supportteamet i Microsoft for rask respons og snuoperasjon, selv om det var nyttårsaften, sier Diachenko i en uttalelse.

Det er uklart om noen andre enn Comparitech kan ha fått tilgang til dataene i mellomtiden. 

Dataene kan misbrukes

Dataene skal i liten grad ha inneholdt informasjon som kan identifisere enkeltpersoner. Men den skal ha inkludert e-postadresser til kunder og supportansatte, IP-adresser, stedsinformasjon, detaljer om bakgrunnen for henvendelsene, saksnumre, løsninger og interne notater merket «konfidensielt».

Sagene Data hadde 11 ansatte som skulle betjene 90.000 brukere i skolene i hovedstaden da selskapet vant kontrakten verdt 50 millioner kroner med Oslo kommune. Den lokale IT-leverandøren planla å oppbemanne slik at de totalt hadde 23 ressurser tilgjengelig for elevene og lærerne ved de nær 190 skolene i Oslo om noe gikk skeis.
Les også

Konsulenthus mente kontrakt ble gitt til feil leverandør – får millionerstatning

Comparitech mener dette kan være nok til at svindlere som presenterer seg som representanter for Microsofts supportapparat har bedre mulighet til å framstå som mer troverdige, siden de kan vise til virkelige supporthenvendelser fra ofrene. 

Men som nevnt, er det ikke kjent om andre enn Comparitech oppdaget at dataene var fritt tilgjengelige.

– Vi er takknemlige overfor Bob Diachenko som har samarbeidet tett med oss slik at vi raskt har kunnet fikse denne feilkonfigureringen, analyser dataene og varsler kunder etter behov, sier Eric Doeer, leder for Microsoft Security Response Center, i en uttalelse som Comparitech har gjengitt.

Diachenko jobber spesifikt med å finne databaser som er eksponert på weben. I blogginnlegget nevnes en rekke tilfeller i 2019 hvor han og hans team har funnet åpent tilgjengelige databaser med person- eller kundeopplysninger.

* Etter publiseringen av denne saken, har Microsoft kommet med en kunngjøring hvor det opplyses at perioden som dataene var åpent tilgjengelige i, startet allerede den 5. desember, ikke den 28. desember slik Comparitech antydet. 

Apple, Nvidia og Microsoft kan komme til å investere i Chat GPT-skaper Open AI, melder Wall Street Journal.
Les også

WSJ: Apple og Nvidia i samtaler om Open AI-investering

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.