セキュリティ企業Comparitechの調査チームが、Microsoftのカスタマーサービス＆サポート(CSS)の記録およそ2億5000万件がウェブ上に公開されていたと報告しました。すべてのデータはパスワードやその他の認証なしでウェブブラウザからアクセス可能な状態だったとのことです。

セキュリティ研究者であるボブ・ディアチェンコ氏の率いる調査チームによれば、2019年12月28日にインターネットをスキャンして流出したデータを検索できるBinaryEdgeで、Elasticsearchの公開サーバー5つがインデックス付けされたとのこと。

これらサーバーを確認したところ、MicrosoftのCSSのクライアントとの会話ログ、クライアントのメールアドレスや契約番号、支払い情報、IPアドレス、場所、内部メモといった個人情報を含んだ14年間にわたる記録が含まれていたことが判明しました。

ディアチェンコ氏がすぐさまMicrosoftに連絡した結果、24時間以内に公開されていたサーバーとデータが保護されたとのこと。ディアチェンコ氏は「大みそかにもかかわらず、Microsoftのサポートチームが迅速に対応してくれたことを称賛します」とコメントしています。

個人情報を含むサーバーが公開設定になっていた原因について、Microsoftは「2019年12月5日に行われたデータベースのネットワークセキュリティグループの変更で、誤った構成のセキュリティルールが含まれていたため」と語っています。Microsoftは「残念ながら、サーバーの誤設定は業界全体でも一般的なエラーです。この種の間違いを防ぐための解決策はありますが、残念ながらこのデータベースでは有効になっていませんでした。すでに説明したように、独自の構成を定期的に確認し、利用可能なすべての保護機能を活用することをお勧めします」というコメントを発表しています。

Comparitechの技術者であるポール・ビショフ氏は「もしデータが保護される前に詐欺師がアクセスしてしまっていた場合、フィッシング詐欺につながるだけではなく、Microsoftや他企業のコールセンターのエージェントになりすまして被害者のマシンにマルウェアを仕込んだりデータを盗み出したりするような詐欺も起こり得ます」と注意を促しています。
https://gigazine.net/news/20200123-microsoft-css-data-leak/

>利用可能なすべての保護機能を活用することをお勧めします

誤設定は一般的なエラーで防げないから我々に落ち度はない、と居直り
揚句にユーザーにセキュリティ対策して防げってか？

まずは謝罪が先やろｗ
どんだけ殿様商売なのかｗ

訴訟権の放棄を強制させる使用許諾商売、最強すぎるなｗｗ

素晴らしいねぇ
これがインターネット企業ですよ
10年以上のデータもしーーーーっかり保存してて偉いね

・・・

>「消えたデータの復旧をマイクロソフトがサポートするので、サポートセンターに問い合わせしろ」というニュースが出たので
>再度問い合わせしたのですが、「Updateに失敗しているから復元出来ない。民間の業者に持ち込め。でも費用はマイクロソフトでは負担しない。」と言われ、
>現在に至ります。

こういう企業なんだけどねｗ

アプデでデータ削除しておいて「普段からバックアップ取っておけよｗこっちには責任ないしｗ
大体、訴訟権放棄にイエスしてるから使えるんだぜ？　訴訟できないんだよｗｗあんたはｗｗ」
こういう言い草だからなｗ

最強すぎるはｗ

セキュリティのことを学び始めると限りがない。
Webアプリをコーディングしてもそのスクリプトを
公開サーバ上にアップロードするのが怖くなっちゃう。

マイクロソフトさんくらいの企業になると
世界最高水準の情報セキュリティのスペシャリストが
雇われていると思うんだけど、それでもこういうことが起こるんだから。