Ang Microsoft, noong Miyerkules, ay isiniwalat na noong Disyembre 29, inabisuhan ng isang mananaliksik sa seguridad ang kumpanya ng isang napakalaking error sa database na nag-iwan ng 250 milyong mga tala ng customer na mahina sa atake. Nag-publish ang Microsoft ng isang post sa blog na nagsasabing ang kahinaan ay resulta ng isang 'maling pag-configure ng isang panloob na database ng suporta sa customer na ginamit para sa case ng Microsoft Support case,' kahit na sinasabi nitong wala itong natagpuang anumang katibayan na ang impormasyon ay nakompromiso.
Nagpatupad ang kumpanya ng pag-aayos para sa error sa database sa loob ng dalawang araw matapos itong maabisuhan, at sinasabi na naniniwala ito na walang impormasyon sa customer ang naapektuhan. Gayunpaman, nagsimula nang abisuhan ng Microsoft ang mga customer na ang impormasyon ay kasama sa database upang magkaroon sila ng kamalayan na ang kanilang data ay maaaring nakompromiso.
Sa karamihan ng mga kaso, sinabi ng Microsoft na ang personal na makikilalang impormasyon ay binago mula sa database, na ginamit para sa pagsusuri ng mga kaso ng suporta. Gayunpaman, sa ilang mga pagkakataon, maaaring kasama ang mga email address o iba pang personal na impormasyon.
Dahil ang database ay may kasamang impormasyon tungkol sa mga kaso ng suporta, ang isang paglabag ay maaaring gawing mas madali para sa isang scammer na gayahin ang mga tauhan ng suporta sa customer ng Microsoft at tangkaing makakuha ng access sa account ng isang customer, computer, o data. Ang mga uri ng scam ay hindi pangkaraniwan, ngunit bihirang magkaroon ng isang aktwal na impormasyon ang customer na gagamitin bilang isang panimulang lugar.
Sinabi ng Microsoft na ang maling pagsasaayos ay naganap nang na-update ang mga patakaran sa seguridad para sa database noong Disyembre 5, na sanhi upang mailantad ang mga talaan. Habang ang kumpanya ay hindi naniniwala na ang anumang impormasyon ng customer ay nilabag, ang data ay nalantad sa loob ng 24 na araw, na humahantong sa posibilidad na ma-access ito. Itinuro ng kumpanya na ang ganitong uri ng pagkakamali ay masyadong karaniwan, at hinihimok ang mga customer na suriin ang kanilang sariling pag-setup ng system.
Ang mga maling pagsasaayos ay sa kasamaang palad isang karaniwang error sa buong industriya. Mayroon kaming mga solusyon upang makatulong na maiwasan ang ganitong uri ng pagkakamali, ngunit sa kasamaang palad, hindi sila pinapagana para sa database na ito. Tulad ng natutunan namin, mahusay na suriin ang iyong sariling mga pagsasaayos at tiyaking sinasamantala mo ang lahat ng mga proteksyon na magagamit.
Sa bahagi ng Microsoft, sinabi ng kumpanya na nagpapatupad ito ng mga pagbabago upang maiwasan ang ganitong uri ng kahinaan sa hinaharap. Kasama sa mga pagbabagong iyon ang pagsusuri at pag-audit sa itinatag na mga panuntunan sa seguridad ng network para sa panloob na mga mapagkukunan, 'pati na rin ang pagpapatupad ng mga mekanismo na idinisenyo upang makita ang mga maling pagsasaayos ng panuntunan sa seguridad at ipagbigay-alam sa mga pangkat ng seguridad kapag natuklasan ito. Bilang karagdagan, ang kumpanya ay gumagawa ng mga pagbabago sa paraan ng pag-redact nito ng personal na impormasyon para sa ganitong uri ng database upang maiwasan ang hindi sinasadyang pagkakalantad.
Kung ikaw ay isang customer ng Microsoft Support, marahil ay nagtataka ka kung may dapat kang gawin. Sinabi ng Microsoft na inaabisuhan nito ang mga customer na maaaring may kasamang kanilang impormasyon sa database.
Sa kasamaang palad, ang Microsoft ay tama - maraming mga halimbawa ng impormasyon ng customer na inilantad ng mga kumpanya na nabigo na magkaroon ng sapat na proteksyon sa lugar. Sa katunayan, ang pangyayaring ito ay ang pangalawang beses na iniulat ng Microsoft na ang impormasyon ng customer ay maaaring nakompromiso noong nakaraang taon.
At ang Microsoft ay tiyak na hindi lamang ang kumpanya na nagkaroon ng problema sa pagpapanatiling ligtas ng data ng customer. Facebook , Equifax, at iba pa ang naging target ng mga pag-atake o paglantad na may mataas na profile. Nangangahulugan iyon na nasa iyo upang maging mapagbantay at responsibilidad para sa iyong sariling impormasyon at proteksyon sa privacy.
Nangangahulugan ito na sulit ding ipaalala sa ating sarili na kung makakatanggap ka ng isang email o tawag sa telepono na tila hindi tama, huwag magbigay ng anumang personal o impormasyon ng kumpanya. Palaging gumamit ng mga opisyal na channel upang makakuha ng suporta, at kung hindi ka pa humiling ng isang email o tugon sa tawag sa telepono, ipagpalagay na ang anumang komunikasyon ay dapat tratuhin nang may hinala.
