現在は対応済み。
昨年12月5日から31日までの間、Microsoft(マイクロソフト)のカスタマーサポートのデータベースへのアクセス構成にミスがあり、パスワードのない状態でデータが複数サーバ上に保存、ウェブから誰でも閲覧可能な状態にあったことがことが明らかになりました。現在は対応済みで、悪用されたデータはなかったという調査結果が、Microsoftから公開されています。
この問題を発見したのは、Security DiscoveryのBob Diachenko氏。
[NEW REPORT] Misconfigurations happen - no matter how big or secured a company is. Here is my new report. 250M+ million Microsoft's Customer Service and Support (CSS) records were exposed on the web. https://t.co/C1Ll0nT8vz
— Bob Diachenko (@MayhemDayOne) January 22, 2020
ネタ元のCompariTechによれば、野ざらし状態にあったカスタマーサポートのデータベースには、2005年から2019年まで14年間のMicrosoft担当者とユーザーの会話ログのほか、IPアドレス、位置情報、メールアドレスなどが含まれていました。
Microsoftのセキュリティチームは、 本件に関して公式ブログにて調査結果(日本語ページ)を報告。いわく、データベースに保存されるデータは、自動化ツールによって個人情報を削除する手順が取られており、2億5000万件の記録のうち大部分では個人情報は無事削除済みだったといいます。一方で入力フォーマットの問題によって、たとえばメールアドレスがメールアドレスと自動認識されなかった場合は情報がそのまま残っていたこともわかり、その場合は該当するユーザーへの通知を行なっています。
Source: Microsoft、CompariTech