Microsoft คอนฟิค Security Rule ผิด ทำให้เปิดเผยข้อมูลลูกค้ากว่า 250 ล้านราย

Microsoft ออกมาชี้แจงถึงความผิดพลาดที่ทำให้สามารถเข้าถึงข้อมูลลูกค้ากว่า 250 ล้านราย ซึ่งเกิดจากทาง Microsoft คอนฟิค Security Rule ผิด

Bob Diachenko นักวิจัยด้านความปลอดภัยทางไซเบอร์เป็นผู้พบและได้รายงานถึงความผิดพลาดที่พบไปยัง Microsoft แล้ว ซึ่งข้อมูลของลูกค้าที่รั่วไหลนั้นประกอบไปด้วย อีเมล, IP Address, ที่อยู่, Case และคำอธิบายของ CSS ที่อ้างอิง, อีเมลของ Microsoft support, หมายเลข Case การแก้ปัญหา และหมายเหตุของ case และ บันทึกที่ประทับเครื่องหมายว่า “ความลับ”

จากการตรวจสอบในตอนนี้พบว่า ยังไม่มีการนำข้อมูลที่เหล่านี้ไปใช้งาน หรือหาผลประโยชน์ แต่ทาง Microsoft ก็ไม่ได้นิ่งนอนใจ ได้ออกมาทำการแก้ไข และออกมาตรการแก้ไข ดังนี้

  • ตรวจสอบ Security Rule ด้านความปลอดภัยภายใน
  • ขยายขอบเขตการตั้งค่า Rule ที่ผิดพลาด
  • เพิ่มการแจ้งเตือนไปยังทีม service teams เมื่อตรวจพบข้อผืดพลาดของ security rule
  • เพิ่มการดำเนินการปรับปรุงอัตโนมัติ

ที่มา: The Hacker News, Microsoft Security Response Center