微软客户资料库组态错误导致资料曝光

Photo by Robert Scoble on https://www.flickr.com/photos/scobleizer/2264763977 (CC BY 2.0)

微软周三公告指出，去年12月一个包含2.5亿笔纪录的客户资料曝露于网路上，但微软说不包含个资，且仅极少数有外洩可能。

这个问题是由安全研究人员Bob Diachenko发现后通报微软。微软调查后发现，原因起于该公司资料库网路安全部门12月9日做了一次资料库变更时，出现安全规则的组态错误，可让未获授权的人士得以存取导致资料曝露。微软接获通知后已在12月31日修正。

曝光的资料库是由5台ElasticSearch伺服器丛集组成，5台机器资料相同，可能是资料库镜射的设计，它属于微软的客服及支援（Customer Service and Support）的支援案例分析资料库，包含超过2.5亿笔资料。

微软并未说明资料型态，但ZDNet引述Diachenko指出，曝光的资料包括电子邮件、IP位址和客服对话内容。

不过微软说，这些资料不包含客户个资，且大部份资料都经过微软自动化工具遮盖（redaction），仅少部份非标準格式的资料，像是邮件信箱中有空白键产生空格的资料未能自动隐藏。微软也已针对这些用户发出通知。

微软表示为防止再发生，已强化内部安全机制，包括对现有内部系统的网路安全规则进行稽核，扩大安全规则组态侦测的範围，实作额外的自动化遮盖，并就侦测到安全规则组态问题时，增加对服务部门的警告讯息。