Zaradi šlamparije javno objavljenih 250 milijonov zapisov o Microsoftovih strankah

Dare Hriberšek

24. jan 2020 ob 16:09:16

Pri Microsoftu so za javnost povzeli izsledke interne preiskave, ki je stekla potem, ko se je izkazalo, da so bili med 5. in 31. decembrom lani javno dostopni podatki, ki jih v podjetju uporabljajo za analizo podpore uporabnikom. Kljub temu so zamolčali za kolikšen obseg in vrsto objavljenih osebnih podatkov je šlo. Tu je z lastno objavo vskočilo podjetje Comparitech, ki je sicer razgaljene podatke odkrilo 29. decembra na strežnikih podjetja Elastics in o tem obvestilo Microsoft, kjer so podatke nemudoma zavarovali, kar je vseeno trajalo še dva dneva.

Objavljene so bile zabeležke pogovorov med njihovimi uslužbenci in strankami iz celega sveta za obdobje štirinajstih let, torej od leta 2005, osebni podatki pa so bili pri tem večinoma anonimizirani. A ne vsi. Tako je bilo objavljenih kar nekaj email naslovov strank in Microsoftovih uslužbencev, pa njihove IP številke, lokacije, opisi postopkov in interne zabeležke, označene kot zaupne. Skupaj je šlo 250 milijonov primerov, s katerimi se je v omenjenem obdobju srečala njihova služba za podporo.

Predstavniki Microsofta so še pojasnili, da preiskava ni naletela na sledove kake zlorab, podatki pa so se po njihovih besedah znašli v javnosti zaradi slabo konfiguriranih varnostnih nastavitev ene od njihovih omrežnih skupin. Pojasnili so tudi, zakaj je samodejna anonimizacija obšla del osebnih podatkov. To se je zgodilo, če je bil pri standardnem podatku vnešen presledek. Torej, če je bil elektronski naslov zapisan kot xyz[presledek]@slo-tech.com, ga je sistem gladko preskočil in pustil takega kot je. Niso pa povedali, za kolikšen delež takih zapisov je šlo.

Microsoft se je za napako opravičil, vse prizadete uporabnike so tudi že obvestili o incidentu.