Microsoft "потеряла" 250 млн единиц пользовательских данных

Microsoft завершила расследование утечки пользовательских данных со своих серверов. Она случилась в декабре 2019 года и раскрыла 250 млн единиц информации о пользователях.

Об этом говорится в блоге Microsoft Security Response Center.

Источником утечки стала внутренняя база данных, используемая в службе поддержки пользователей. В ней хранилась анонимная аналитика о клиентах. Открытую доступность этой базы заметил исследователь компании Security Discovery Боб Дяченко.

База данных находлась на кластере из пяти серверов, которые представляли собой зеркала и содержали одинаковую информацию. В ней содержались такие данные как адреса электронной почты, IP-адреса, информация о проблеме, с которой обращался пользователь.

В Microsoft сообщили, что данные в подобных базах редактируются автоматически, удаляя персональную информацию. Однако для этого обратившийся в поддержку пользователь должен был использовать стандартные форматы, что происходило не всегда. В таких случаях данные не редактировались и оставались в базе данных, став доступными публично.

Эксперты Microsoft называют причиной утечки неправильную конфигурацию безопасности серверов Azure, которую применили в начале декабря. Сейчас проблему исправили.