by mohamed hassan



セキュリティ企業Comparitechの調査チームが、Microsoftのカスタマーサービス＆サポート(CSS)の記録およそ2億5000万件がウェブ上に公開されていたと報告しました。すべてのデータはパスワードやその他の認証なしでウェブブラウザからアクセス可能な状態だったとのことです。



Access Misconfiguration for Customer Support Database - Microsoft Security Response Center

https://msrc-blog.microsoft.com/2020/01/22/access-misconfiguration-for-customer-support-database/



250 million Microsoft customer service & support records exposed

https://www.comparitech.com/blog/information-security/microsoft-customer-service-data-leak/



セキュリティ研究者であるボブ・ディアチェンコ氏の率いる調査チームによれば、2019年12月28日にインターネットをスキャンして流出したデータを検索できるBinaryEdgeで、Elasticsearchの公開サーバー5つがインデックス付けされたとのこと。



これらサーバーを確認したところ、MicrosoftのCSSのクライアントとの会話ログ、クライアントのメールアドレスや契約番号、支払い情報、IPアドレス、場所、内部メモといった個人情報を含んだ14年間にわたる記録が含まれていたことが判明しました。



ディアチェンコ氏がすぐさまMicrosoftに連絡した結果、24時間以内に公開されていたサーバーとデータが保護されたとのこと。ディアチェンコ氏は「大みそかにもかかわらず、Microsoftのサポートチームが迅速に対応してくれたことを称賛します」とコメントしています。



Kudos to MS Security Response team - I applaud the MS support team for responsiveness and quick turnaround on this despite New Year’s Eve. https://t.co/PPLRx9X0h4