» »

Zaradi šlamparije javno objavljenih 250 milijonov zapisov o Microsoftovih strankah

Zaradi šlamparije javno objavljenih 250 milijonov zapisov o Microsoftovih strankah

vir: Pxhere

Comparitech - Pri Microsoftu so za javnost povzeli izsledke interne preiskave, ki je stekla potem, ko se je izkazalo, da so bili med 5. in 31. decembrom lani javno dostopni podatki, ki jih v podjetju uporabljajo za analizo podpore uporabnikom. Kljub temu so zamolčali za kolikšen obseg in vrsto objavljenih osebnih podatkov je šlo. Tu je z lastno objavo vskočilo podjetje Comparitech, ki je sicer razgaljene podatke odkrilo 29. decembra na strežnikih podjetja Elastics in o tem obvestilo Microsoft, kjer so podatke nemudoma zavarovali, kar je vseeno trajalo še dva dneva.

Objavljene so bile zabeležke pogovorov med njihovimi uslužbenci in strankami iz celega sveta za obdobje štirinajstih let, torej od leta 2005, osebni podatki pa so bili pri tem večinoma anonimizirani. A ne vsi. Tako je bilo objavljenih kar nekaj email naslovov strank in Microsoftovih uslužbencev, pa njihove IP številke, lokacije, opisi postopkov in interne zabeležke, označene kot zaupne. Skupaj je šlo 250 milijonov primerov, s katerimi se je v omenjenem obdobju srečala njihova služba za podporo.

Predstavniki Microsofta so še pojasnili, da preiskava ni naletela na sledove kake zlorab, podatki pa so se po njihovih besedah znašli v javnosti zaradi slabo konfiguriranih varnostnih nastavitev ene od njihovih omrežnih skupin. Pojasnili so tudi, zakaj je samodejna anonimizacija obšla del osebnih podatkov. To se je zgodilo, če je bil pri standardnem podatku vnešen presledek. Torej, če je bil elektronski naslov zapisan kot xyz[presledek]@slo-tech.com, ga je sistem gladko preskočil in pustil takega kot je. Niso pa povedali, za kolikšen delež takih zapisov je šlo.

Microsoft se je za napako opravičil, vse prizadete uporabnike so tudi že obvestili o incidentu.

24 komentarjev

HotBurek ::

IP številke = IP numbers
IP naslovi = IP addresses

Če ne bi bilo novice o Mikrosoftu, bi skoraj pozabil, da obstajajo.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Apple ::

In kaj pocne vec kot 3.500 full time zaposlenih strokovnjakov za varnost na MS?
LP, Apple

Cruz ::

Apple je izjavil:

In kaj pocne vec kot 3.500 full time zaposlenih strokovnjakov za varnost na MS?
Age of Empires 4 testirajo.

K0l1br1 ::

Naslov je populističen, kot da bi avtor ne bi bil zmotljiv človek.

Zgodovina sprememb…

  • predlagalo izbris: BlackMaX ()

galu ::

Apple je izjavil:

In kaj pocne vec kot 3.500 full time zaposlenih strokovnjakov za varnost na MS?


Skrbijo, da so take novice bolj izjema kot pravilo?
Tako to gre.

tony1 ::

No, toliko o tem, da se naj v oblak spravi kakšno pametno storitev.

In še en problem oblaka: mediji za shranjevanje podatkov so očitno skorajda zastonj, saj se nič zapisanega v oblak nikoli ne pobriše. Vrlim zakonodajalcem v Bruslju bi bilo dobro napisati zakonski predlog, ki bi brez izrecne privolitve udeleženega vse njegove podatke brisal na recimo 10 let.

Res kdo rabi vse izpiske poteka kejsov pri tehnični podpori izpred desetih let? Koliko sistemov se v povprečni firmi vmes zamenja? Verzij in vrst programske opreme? Nenazadnje, ljudi v službah, ki bi se sploh še spomnili, da so leta 2005 skupaj z M$ podporo en problem rešili (osebno sicer ne verjamem, da se je kdaj taka reč res pripetila), ki je sumljivo podoben včerajšnjemu in bi ta prišla prav leta 2020?

Matthai ::

Apple je izjavil:

In kaj pocne vec kot 3.500 full time zaposlenih strokovnjakov za varnost na MS?

Jedo jabolka?
All those moments will be lost in time, like tears in rain...
Time to die.

spegli ::

Oblak je fajn. Yul lrn.

Matthai ::

Samo če je tvoj lasten.
All those moments will be lost in time, like tears in rain...
Time to die.

Mr.B ::

tony1 je izjavil:

No, toliko o tem, da se naj v oblak spravi kakšno pametno storitev.

In še en problem oblaka: mediji za shranjevanje podatkov so očitno skorajda zastonj, saj se nič zapisanega v oblak nikoli ne pobriše. Vrlim zakonodajalcem v Bruslju bi bilo dobro napisati zakonski predlog, ki bi brez izrecne privolitve udeleženega vse njegove podatke brisal na recimo 10 let.

Res kdo rabi vse izpiske poteka kejsov pri tehnični podpori izpred desetih let? Koliko sistemov se v povprečni firmi vmes zamenja? Verzij in vrst programske opreme? Nenazadnje, ljudi v službah, ki bi se sploh še spomnili, da so leta 2005 skupaj z M$ podporo en problem rešili (osebno sicer ne verjamem, da se je kdaj taka reč res pripetila), ki je sumljivo podoben včerajšnjemu in bi ta prišla prav leta 2020?

obrniva drugace,
Verjetnos da bi bila danes ta baza navoljo vsem , ce bi bil shranjena lokalno , je .no Bi rekel se nebi bilo niti zaznano da je navoljo vsem...
Napaka je bila s strani admina, in to bi bil lahko tudi lokalni it.
Voljeno telo ogledalo volilnega telesa.

tony1 ::

Mr.B je izjavil:

tony1 je izjavil:

No, toliko o tem, da se naj v oblak spravi kakšno pametno storitev.

In še en problem oblaka: mediji za shranjevanje podatkov so očitno skorajda zastonj, saj se nič zapisanega v oblak nikoli ne pobriše. Vrlim zakonodajalcem v Bruslju bi bilo dobro napisati zakonski predlog, ki bi brez izrecne privolitve udeleženega vse njegove podatke brisal na recimo 10 let.

Res kdo rabi vse izpiske poteka kejsov pri tehnični podpori izpred desetih let? Koliko sistemov se v povprečni firmi vmes zamenja? Verzij in vrst programske opreme? Nenazadnje, ljudi v službah, ki bi se sploh še spomnili, da so leta 2005 skupaj z M$ podporo en problem rešili (osebno sicer ne verjamem, da se je kdaj taka reč res pripetila), ki je sumljivo podoben včerajšnjemu in bi ta prišla prav leta 2020?

obrniva drugace,
Verjetnos da bi bila danes ta baza navoljo vsem , ce bi bil shranjena lokalno , je .no Bi rekel se nebi bilo niti zaznano da je navoljo vsem...
Napaka je bila s strani admina, in to bi bil lahko tudi lokalni it.


Lokalni IT takšnih stvari običajno ne hrani v javnih DMZjih, poleg tega takšno razmišljanje implicira, da hramba v oblaku pri "resnem ponudniku" kot je M$ ni nič varnejša od povprečnega lokalnega admina...

Mr.B ::

tony1 je izjavil:

Mr.B je izjavil:

tony1 je izjavil:

No, toliko o tem, da se naj v oblak spravi kakšno pametno storitev.

In še en problem oblaka: mediji za shranjevanje podatkov so očitno skorajda zastonj, saj se nič zapisanega v oblak nikoli ne pobriše. Vrlim zakonodajalcem v Bruslju bi bilo dobro napisati zakonski predlog, ki bi brez izrecne privolitve udeleženega vse njegove podatke brisal na recimo 10 let.

Res kdo rabi vse izpiske poteka kejsov pri tehnični podpori izpred desetih let? Koliko sistemov se v povprečni firmi vmes zamenja? Verzij in vrst programske opreme? Nenazadnje, ljudi v službah, ki bi se sploh še spomnili, da so leta 2005 skupaj z M$ podporo en problem rešili (osebno sicer ne verjamem, da se je kdaj taka reč res pripetila), ki je sumljivo podoben včerajšnjemu in bi ta prišla prav leta 2020?

obrniva drugace,
Verjetnos da bi bila danes ta baza navoljo vsem , ce bi bil shranjena lokalno , je .no Bi rekel se nebi bilo niti zaznano da je navoljo vsem...
Napaka je bila s strani admina, in to bi bil lahko tudi lokalni it.


Lokalni IT takšnih stvari običajno ne hrani v javnih DMZjih, poleg tega takšno razmišljanje implicira, da hramba v oblaku pri "resnem ponudniku" kot je M$ ni nič varnejša od povprečnega lokalnega admina...

Da Da , nekaj 100 GB podatkov si dnsvno izmenujejo podjetja preko pismonoš. Komentiraš zadeve, ki jih nerazumeš. Imao trenutno cca 40 TB veliko bazo, do teh podatkov mora dostopati neko zunanje podetje, ja kaj misliš da bo zunanje podjetje, te bodatke dobilo na traku, in dnevno prejelo vse spremembe ?
Voljeno telo ogledalo volilnega telesa.

tony1 ::

Ni potrebe po pokroviteljskem tonu, ker se niti slučajno ne poznava.

Predstavljam si, da bodo imeli do tja site to site VPN.

Če človek uporablja kakovostne firewalle, ki na prvo mesto postavljajo enostavnost uporabe in produktivnost uporabnika, je za takšno nenamerno napako treba biti neverjetno hudo malomaren, da iz zgornje konfiguracije nastaviš to, da je ta server dostopen kar iz vsega javnega interneta.

Kar sem imel sam opravka z oblačnimi storitvami (tj. pri njihovih uporabnikih, saj tukaj ni problem v oblačni arhitekturi ampak uporabniku oblaka, ki je zaje6al konfiguracijo svojega okolja), se pri njih dogaja podoben proces kot pri razvojnikih aplikacij za mobilne telefone: to dela nova generacija ljudi, ki o zlatih standardih, ki smo jih v industriji pogruntali že pred desetletji nima pojma, ker so v službo prišli včeraj. In ker delajo nekaj novega, drugačnega in kul, jih tisto znanje starih prdcev niti zanima ne.

Podobno je pri varovanju podatkov v cloudu: ko hoče človek pojasniti osnove inf. varnosti uporabniku clouda, bo s pisanjem varnostnega pravila namesto nekaj minut zabil cel teden. Bojim se, da je tole pi*darijo skuhal nekdo podoben, tj. nekdo, ki se niti z varovanjem strežnikov s perimetrskimi firewalli ni nikoli ukvarjal.

Mato989 ::

Cruz je izjavil:

Apple je izjavil:

In kaj pocne vec kot 3.500 full time zaposlenih strokovnjakov za varnost na MS?
Age of Empires 4 testirajo.


Skoraj sem se rollnil od smeha =)
Če sem pomagal, se priporočam za uporabo linka!
KUCOIN EXCHANGE link: https://www.kucoin.com/#/?r=E3I9Ij
BINANCE EXCHANGE link: https://www.binance.com/?ref=10161115

Mr.B ::

tony1 je izjavil:

Ni potrebe po pokroviteljskem tonu, ker se niti slučajno ne poznava.

Predstavljam si, da bodo imeli do tja site to site VPN.

Če človek uporablja kakovostne firewalle, ki na prvo mesto postavljajo enostavnost uporabe in produktivnost uporabnika, je za takšno nenamerno napako treba biti neverjetno hudo malomaren, da iz zgornje konfiguracije nastaviš to, da je ta server dostopen kar iz vsega javnega interneta.

Kar sem imel sam opravka z oblačnimi storitvami (tj. pri njihovih uporabnikih, saj tukaj ni problem v oblačni arhitekturi ampak uporabniku oblaka, ki je zaje6al konfiguracijo svojega okolja), se pri njih dogaja podoben proces kot pri razvojnikih aplikacij za mobilne telefone: to dela nova generacija ljudi, ki o zlatih standardih, ki smo jih v industriji pogruntali že pred desetletji nima pojma, ker so v službo prišli včeraj. In ker delajo nekaj novega, drugačnega in kul, jih tisto znanje starih prdcev niti zanima ne.

Podobno je pri varovanju podatkov v cloudu: ko hoče človek pojasniti osnove inf. varnosti uporabniku clouda, bo s pisanjem varnostnega pravila namesto nekaj minut zabil cel teden. Bojim se, da je tole pi*darijo skuhal nekdo podoben, tj. nekdo, ki se niti z varovanjem strežnikov s perimetrskimi firewalli ni nikoli ukvarjal.

A dej no... "kakovostni" firewall te bo ščitil proti Free for All accerss bazo osebnih podatkov, kjer so podatki vpisani v clear tekstu, berljivi vsem ki pozanjo conection string.
Sej imaš v oblaku tud firewall, stane te no začne se pri 1000€/mesec + prenos podatkov. Če znaš pa osnove odpiranja in zapiranja portov je pa bistveno ceneje... , ker tisti osnovi firewall ja ta ip ise sme povezati na ta ip samo preko tega porta....
Voljeno telo ogledalo volilnega telesa.

tony1 ::

Kakovostni pomeni samo to, da ima vmesnik s katerim se da normalno delati in po potrebi revidirati konfiguracijo brez, da bi bila vse skupaj višja matematika. Sicer se *vedno* samo odpira dostop vedno bolj in bolj na široko, starih pravil pa ne pregleduje nihče.

Mr.B ::

tony1 je izjavil:

Kakovostni pomeni samo to, da ima vmesnik s katerim se da normalno delati in po potrebi revidirati konfiguracijo brez, da bi bila vse skupaj višja matematika. Sicer se *vedno* samo odpira dostop vedno bolj in bolj na široko, starih pravil pa ne pregleduje nihče.

Da to vse dela avtomatika. Cli je pa cli ne vem kašen vmesnik bi bil boljši.
Voljeno telo ogledalo volilnega telesa.

tony1 ::

Zaje6 je tole:
"ko se je izkazalo, da so bili med 5. in 31. decembrom lani javno dostopni podatki".

Kaj tu pomeni javno? Je nekdo tja vdrl in nato vse skupaj objavil? Je bilo res server dostopen z vsega javnega interneta? Prosto dostopen? (Ni bil prosto dostopen ampak je bilo vanj samo trivialno vdreti?)

Pravzaprav ni jasno, kako se je to zgodilo, mora pa avtomatizacijo nekdo upravljati in, če drugega ne, pucati drek, ki ga včasih pusti za sabo. Ne vemo, kaj je vzrok zgornjega.

CLI firewalla je seveda lahko tudi izjemno zarukan, zastarel v primerjavi z 20 let novejšimi produkti, sestavljen iz več neodvisnih komponent, ki jih je treba neodvisno upravljati ali pa preprosto neobstoječ.

Mr.B ::

tony1 je izjavil:

Zaje6 je tole:
"ko se je izkazalo, da so bili med 5. in 31. decembrom lani javno dostopni podatki".

Kaj tu pomeni javno? Je nekdo tja vdrl in nato vse skupaj objavil? Je bilo res server dostopen z vsega javnega interneta? Prosto dostopen? (Ni bil prosto dostopen ampak je bilo vanj samo trivialno vdreti?)

Pravzaprav ni jasno, kako se je to zgodilo, mora pa avtomatizacijo nekdo upravljati in, če drugega ne, pucati drek, ki ga včasih pusti za sabo. Ne vemo, kaj je vzrok zgornjega.

CLI firewalla je seveda lahko tudi izjemno zarukan, zastarel v primerjavi z 20 let novejšimi produkti, sestavljen iz več neodvisnih komponent, ki jih je treba neodvisno upravljati ali pa preprosto neobstoječ.

Mesas vse po spisku.
Morda ja ne mislis, da je bila baza zlorabljana? Gre se za to da je nekdo konfig za j, potem so to zaznali, in to morajo po zakonu in zaradi certifikatov objaviti.
Sem pa preprican, da laufa tam 24/7 AI, ki bi alarmiral takoj ko bi nekdo zacel dL-jat bazo in blokiral dostop.
To da nadzira clovek, je bolj utopija neznanja. Jaz imam stranko ki im 47000 uporabniki, ki dostopajo de ene web app aplikacije v oblaku. Ni mozno, da bi clovek nadziral promet v nekem realnem casu, rabim pa sistem, ki me alarmira in avtomaticno ukrepa ce pride do odstopanja...
Voljeno telo ogledalo volilnega telesa.

tony1 ::

Potem pa jasno napiši, kaj se je po tvoje zgodilo, od kod in kako so bili ti podatki dostopni. Torej je bil dostop omogočen preveč na široko, le nihče nepooblaščen ni dostopal do podatkov?

In še: zaradi vsemogočnih SOCov z AIjem ne bom nič lažje spal. Če je bil skonfiguriran enako šlampasto je verjetno še vedno v learning modu...

Sicer pa prostodušno priznam: pri MSju nisem nikoli odpiral nobenega kejsa. (Em jih pa klical po telefonu, ampak kejs numberja nisem nikoli dobil. A to šteje? :D) Že od začetka sem siten le zaradi tega, ker sem moral službeni laptop z winsi v petek prisilno resetirati, ker mu je nehal delati dhcp klient. Prižgan je bil komaj 5 dni skupaj... Klinc gleda tako firmo.

Mr.B ::

tony1 je izjavil:

Potem pa jasno napiši, kaj se je po tvoje zgodilo, od kod in kako so bili ti podatki dostopni. Torej je bil dostop omogočen preveč na široko, le nihče nepooblaščen ni dostopal do podatkov?

In še: zaradi vsemogočnih SOCov z AIjem ne bom nič lažje spal. Če je bil skonfiguriran enako šlampasto je verjetno še vedno v learning modu...

Sicer pa prostodušno priznam: pri MSju nisem nikoli odpiral nobenega kejsa. (Em jih pa klical po telefonu, ampak kejs numberja nisem nikoli dobil. A to šteje? :D) Že od začetka sem siten le zaradi tega, ker sem moral službeni laptop z winsi v petek prisilno resetirati, ker mu je nehal delati dhcp klient. Prižgan je bil komaj 5 dni skupaj... Klinc gleda tako firmo.

Zato pa ti niso jasne osnove. Ker potem bi lahko ugotovil, da je bilo konec leta na spletu baza slabih 300 mijonov uporabnikov, ki se z zbiranja in obdelave podatkov sploh niso strinjali... mislim da je bilo samo v letu 2019 objavljenih cca 800 mijonov FB racunov z osebnimi pidatki. Te podatki so bili uporabljeni za ribarjenje, itd....
Sedaj pa poizkusi iz virov dobiti podatek, ali je kdo te podatke "nepoblasceno" dostopal.
Pa tu ne zagovarjam MS. Tu je slo za za napako, ki jo je avtomatika zaznala in luknja se je zaprla.
Voljeno telo ogledalo volilnega telesa.

Ales ::

Mr.B je izjavil:

Sedaj pa poizkusi iz virov dobiti podatek, ali je kdo te podatke "nepoblasceno" dostopal.

Kar daj...
Pa tu ne zagovarjam MS. Tu je slo za za napako, ki jo je avtomatika zaznala in luknja se je zaprla.

To ne drži sploh. Zunanje podjetje (oz. njihov zunanji sodelavec, "varnostni raziskovalec" Bob Diachenko) je "naletelo" na podatke in ti so obvestili MS, ki jih je potem umaknil z javno dostopnega spletnega prostora. MS je pol kurca sam zaznal. AI..? Kak AI, WTF...

Noben AI, noben hype word, ki ga tako veselo in zgrešeno uporabljaš, ni imel blage veze pri vsem skupaj. Nimam pojma zakaj misliš, da naj bi nek imaginaren MS varnostni sistem preprečil nepooblaščen dostop, če pa so sami javno objavili, da so tretje osebe prišle do podatkov. Si sploh prebral novico?

Mr.B ::

Ales je izjavil:

Mr.B je izjavil:

Sedaj pa poizkusi iz virov dobiti podatek, ali je kdo te podatke "nepoblasceno" dostopal.

Kar daj...
Pa tu ne zagovarjam MS. Tu je slo za za napako, ki jo je avtomatika zaznala in luknja se je zaprla.

To ne drži sploh. Zunanje podjetje (oz. njihov zunanji sodelavec, "varnostni raziskovalec" Bob Diachenko) je "naletelo" na podatke in ti so obvestili MS, ki jih je potem umaknil z javno dostopnega spletnega prostora. MS je pol kurca sam zaznal. AI..? Kak AI, WTF...

Noben AI, noben hype word, ki ga tako veselo in zgrešeno uporabljaš, ni imel blage veze pri vsem skupaj. Nimam pojma zakaj misliš, da naj bi nek imaginaren MS varnostni sistem preprečil nepooblaščen dostop, če pa so sami javno objavili, da so tretje osebe prišle do podatkov. Si sploh prebral novico?

Zaznal bi takoj ko bi nekdo začel pumpati podatke v eno smer. Vem, sem doživel.
Voljeno telo ogledalo volilnega telesa.

Matthai ::

Bi, ali pa ne bi. V bistvu naj bi. Realnost je včasih drugačna...
All those moments will be lost in time, like tears in rain...
Time to die.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Pomoč pri spletnem nategu

Oddelek: Omrežja in internet
433148 (613) AndrejS
»

Ajpes končno priznal: Ne vemo, kaj delamo (strani: 1 2 )

Oddelek: Novice / Varnost
8419080 (9387) Furbo
»

Oblast se spravlja na Informacijskega pooblaščenca (strani: 1 2 )

Oddelek: Problemi človeštva
774275 (3121) Brane2

Več podobnih tem