Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Wpadka Microsoftu: baza danych wystawionana widok publiczny

Recommended Posts

Microsoft poinformował, że błąd w konfiguracji zabezpieczeń jednej z firmowych baz danych spowodował, że 250 milionów rekordów o klientach firmy było publicznie dostępnych. Nasze śledztwo wykazało, że zmiany dokonane 5 grudnia 2019 roku w polityce zabezpieczeń zawierały źle skonfigurowane zasady bezpieczeństwa, które spowodowały wystawienie danych na widok publiczny, czytamy w oświadczeniu koncernu.

Gdy zostaliśmy poinformowani o problemie nasi inżynierowie naprawili go 31 grudnia 2019 roku i zablokowali nieautoryzowany dostęp do danych. Problem dotyczył bazy danych wykorzystywanej do analizy systemu udzielania wsparcia.

Wiadomo, że dane sięgały aż do roku 2005 i zawierały zapisy rozmów pomiędzy klientami Microsoftu, a pracownikami odpowiedzialnymi za wsparcie techniczne. Wiadomo też, że baza była przez co najmniej 2 dni dostępna dla każdego internauty. Przeglądać ją można było bez konieczności logowania się.

Problem zauważyli pracownicy firmy BinaryEdge, zajmującej się wykrywaniem zagrożeń. Poinformowali Microsoft o problemie 31 grudnia. Brawa dla pracowników Microsoftu, że błyskawicznie zareagowali mimo sylwestra, stwierdził Bob Diachenko, który przekazał koncernowi informację o błędzie.

Przeprowadzone przez Microsoft śledztwo wykazało, że zdecydowana większość danych była zanonimizowana. Jednak w pewnych szczególnych wypadkach niektóre dane można było powiązać np. z konkretnym adresem e-mail. Dlatego też, mimo że nie znaleziono dowodów, by do bazy dostał się ktoś nieuprawniony – poza pracownikami BinaryEdge – koncern rozpoczął informowanie klientów, których mógł dotyczyć problem.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Microsoft oznajmił, że ma zamiar nie tylko zredukować zredukować emisję węgla związaną ze swoją działalnością, ale usunie z atmosfery węgiel, który wyemitował w całej swojej historii. Koncern wyznaczył sobie dwa ambitne terminy. Do roku 2030 firma chce tk zmienić sposób swojego działania, że będzie więcej węgla wycofywała z atmosfery niż go emitowała, a do roku 2050 ma zamiar wycofać z atmosfery cały węgiel, jaki w związku z prowadzoną przez siebie działalnością wyemitowała od swojego powstania w 1975 roku. To zdecydowane przebicie zapowiedzi Amazona, który obiecał, że do roku 2040 stanie się firmą neutralną pod względem emisji węgla.
      "Podczas gdy cały świat potrzebuje zredukować emisję netto do zera, ci z nas, których stać na szybsze i bardziej ambitne działanie, powinni to zrobić. Dlatego dzisiaj ogłaszamy nowy plan zredukowania, a docelowo usunięcia z atmosfery, całej emisji powodowanej przez Microsoft", oświadczył prezes Brad Smith.
      Koncern oznajmił, że do 2030 roku o ponad połowę zmniejszy zarówno swoją własną emisję jak i całego swojego łańcucha dostaw. Koncern pomoże swoim dostawcom i innym partnerom w redukcji ich śladu węglowego, przeznaczy też miliard dolarów na rozwój technologii związanych z redukcją emisji węgla, jego przechwytywaniem i usuwaniem z atmosfery. Od przyszłego zaś roku będzie wymagał od swoich nowych partnerów, by wdrażali politykę redukcji emisji. Firma zapowiedziała też, że co roku będzie publikowała Environmental Sustainability Report, w którym szczegółowo przedstawi poziom swojej emisji i działania zmierzające do jej zmniejszenia.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Po raz pierwszy w historii sąd federalny nakazał udostępnienie policji całej bazy danych DNA, w tym profili, których właściciele nie wyrazili zgody na udostępnienie.
      Od czasu, gdy w ubiegłym roku policja – po przeszukaniu publicznej bazy danych DNA – schwytała seryjnego mordercę sprzed dziesięcioleci, udało się dzięki takim bazom rozwiązać wiele nierozstrzygniętych spraw. Jednak działania policji budzą zastrzeżenia dotyczące prywatności. We wrześniu Departament Sprawiedliwości, by rozwiać te obawy, wydał instrukcję, zgodnie z którą policja może przeszukiwać tego typu bazy danych wyłącznie w sprawach o przestępstwa związane z użyciem przemocy oraz tam, gdzie właściciel profilu wyraził zgodę.  Już zresztą wcześniej, bo w maju witryna GEDmatch, na którą każdy może wgrać swój profil DNA, ograniczyła policji dostęp do tych profili, których właściciele wyrazili zgodę. Tym samym liczba profili DNA do których policja ma dostęp na GDAmatch spadła z 1,3 miliona do zaledwie 185 000.
      Pewien policyjny detektyw z Florydy prowadzi śledztwo w sprawie seryjnego gwałciciela. Uznał, że dostęp jedynie do 185 000 profili z GEDmatch to zbyt mało i wystąpił do sądu z wnioskiem, by ten, nakazał witrynie udostępnienie mu całej bazy. Detektyw ma nadzieję, że jacyś krewni gwałciciela wgrali tam informacje o swoim DNA, dzięki którym uda się znaleźć sprawcę. Sędzia przychylił się do prośby detektywa. Wyrok taki od razu wzbudził kontrowersje.
      Prawnicy mówią, że to, czy właściciele profili mają powody do zmartwień zależy od prowadzenia każdej ze spraw i trudno jest na tym etapie wyrokować, jak rozstrzygnięcie sądu ma się do amerykańskiego prawa. Zwracają jednak uwagę, że GEDmatch to niewielka firma. Mimo to posiadana przez nią baza 1,3 miliona profili oznacza, że w bazie tej znajduje się profil kuzyna trzeciego stopnia lub kogoś bliżej spokrewnionego z 60% białych Amerykanów.
      Firmy takie jak 23andMe czy Ancestry posiadają znacznie bardziej rozbudowane bazy, a zatem pozwalają na sprofilowanie znacznie większej liczby obywateli USA. Zresztą 23andMe już zapowiedziała, że jeśli otrzyma podobny wyrok to będzie się od niego odwoływała. Prawnicy zauważają, że z jednej strony, jeśli w przyszłości pojawi się takie odwołanie i rozpocznie się batalia sądowa, którą będzie rozstrzygał jeden z Federalnych Sądów Apelacyjnych lub Sąd Najwyższy, to ustanowiony zostanie silny precedens. Z drugiej strony osoba, która zostałaby oskarżona dzięki przeszukaniu takiej bazy mogłaby zapewne powoływać się na Czwartą Poprawkę, która zakazuje nielegalnych przeszukań.
      Specjaliści mówią, że jeśli podobne wnioski zaczną pojawiać się coraz częściej i sądy będą się do nich przychylały, to będzie to poważny problem dla witryn z bazami danych DNA.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Microsoft ostrzega przed niedawno wydaną przez siebie poprawką. Opublikowana 15 października opcjonalna niezwiązana z bezpieczeństwem KB45200062 może bowiem zaburzyć działanie usługi Windows Defender Advanced Threat Protection (ATP).
      Koncern z Redmond informuje, że po zainstalowaniu poprawki ATP może przestać działać i wysyłać raporty. Ponadto w podglądzie zdarzeń (Event Viewer) może zostać zarejestrowany błąd 0xc0000409.
      Błąd nie dotknie wszystkich użytkowników Windows, jednak jego występowanie to zła wiadomość dla wieru firm, które korzystają z Windows Defender ATP i zainstalowały KB4520062. Poprawka ta poprawia działanie modułów zarządzania energią, Bluetootha i wielu innych. Informacja, że może ona spowodować, iż firmowe komputery staną się mniej bezpieczne z pewnością nie ucieszy przedsiębiorców.
      Windows Defender ATP ma za zadanie chronić sieci firmowe przed zaawansowanymi atakami, wykrywać je, umożliwiać ich analizę i reakcję na nie. Mechanizm ten korzysta z narzędzi analitycznych i dla wielu firm jest istotnym elementem systemu bezpieczeństwa.
      Poprawka sprawia problemy w wersjach Windows 10 build 1809, Windows 10 Enterprise LTSC 2019, Windows Server build 1809 oraz Windows Server 2019. Jako, że jest to poprawka opcjonalna, niezwiązana z bezpieczeństwem bez większego problemu można z niej zrezygnować.
      Microsoft obiecuje udostępnienie pozbawionej błędów wersji poprawki około połowy listopada.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Poważny błąd pozwala na przeprowadzenie zdalnego ataku na urządzenia z systemem Linux. Dziura znajduje się w sterowniku RTLWIFI, który jest używany przez układy Wi-Fi firmy Realtek działające pod kontrolą Linuksa. Dziura pozwala na wywołanie błędu przepełnienia bufora za pomocą sygnału Wi-Fi. Napastnik, wykorzystując urządzenie znajdujące się w zasięgu sygnału Wi-Fi od celu może doprowadzić co najmniej do awarii systemu operacyjnego. Niewykluczone, że może też przejąć całkowitą kontrolę na systemem ofiary. Błąd występuje we wszystkich jądrach Linuksa od wersji 3.10.1 z 2013 roku.
      To poważna dziura. Jeśli pod kontrolą Linuksa używasz sterownika dla urządzeń Wi-Fi firmy Realtek, to napastnik może wywołać w systemie błąd przepełnienia bufora, ostrzega Nico Waisman, główny inżynier ds. bezpieczeństwa w serwisie Github.
      Dziura zyskała oznaczenie CVE-2019-17666. Przed dwoma dniami zaproponowano łatkę, która w najbliższych dniach lub tygodniach powinna zostać udostępniona użytkownikom.
      Waisman mówi, że nie opracował jeszcze prototypowego kodu atakującego. Wciąż nad nim pracuję. Zajmie mi to trochę czasu (o ile jego stworzenie w ogóle będzie możliwe). Teoretycznie tego typu błąd powinno dać się wykorzystać, mówi.
      Poważnym problemem jest fakt, że do przeprowadzenia ataku nie jest wymagana żadna interakcja ze strony użytkownika. Wystarczy, że urządzenie napastnika znajduje się w zasięgu Wi-Fi, a na urządzeniu ofiary mamy włączoną sieć lokalną i wadliwy sterownik. Ataku nie można przeprowadzić, gdy Wi-Fi jest wyłączone, ani gdy działa pod kontrolną sterownika innego producenta niż Realtek. Najprawdopodobniej błąd występuje też w urządzeniach z Androidem.

      « powrót do artykułu
×
×
  • Create New...