两亿五千万微软客户的记录被公开

据发现这一情况的安全研究人员称，在2019年12月的大部分时间里，微软公司将大约四分之一的客户服务和客户支持记录被公开在网上，供任何人查看。

 
根据与某英国技术新闻网站合作的研究员的说法，他们发现了由5个相同的数据库组成的未受保护的数据，这些数据库含有微软技术支持代理与其客户之间的对话记录。

 
从2005年到2019年12月，14年的公开记录包括一些客户的电子邮件地址、网络协议地址、网站、投诉性质、案例编号以及技术支持人员的电子邮件。

 
微软在其网站上发布的通知中称，它已经调查了“内部客户支持数据库中的错误设置”，该公司确认，没有检测到恶意使用这些数据，但是有的客户暴露了个人识别信息。

 
微软还称，我们希望在此事上，对所有客户透明化，我们会向他们保证，我们会认真对待此事，追究自己的责任。

 
该公司证实，这一问题仅限于使用支持案例分析的内部数据库，而不是商业云服务。根据技术网站Tom’s Guide报道，这非常重要，因为微软要求修改支持案例分析数据库中存储的数据，以便删除个人信息。

 
因此，“绝大多数记录”不包含个人信息，其中有大部分已被修改的电子邮件地址。

 
被公开的是什么样的信息？

 
不幸的是，如果满足某些条件，某些数据将保持不变。微软引用了一个非标准格式信息的示例，例如在com单词前使用连字符“-”而不是句点“.”的电子邮件地址。

 
但据该英国技术新闻网站的报道，公开的数据类型超出了电子邮件地址。据安全研究员鲍勃·迪亚琴科称，IP地址、网站、客户投诉描述、支持客户消息、案例编号和标有“秘密”标志的内部注释，至少在某些情况下均未得到保护。

 
虽然真正的敏感数据已被修改或未首先输入，例如出生日期、信用卡信息或电子邮件别名，但仍可以通过技术支持的欺诈者，使用泄露的数据。

 
有了这些信息，当诈骗者随机打电话给别人，佯称自己是微软的合法技术支持代理商时，他们的话就更让人相信。例如，他们可以利用从公开数据库中获得的实际案例编号。

 
如何保护自己？

 
微软尚未发现任何恶意使用被公开的数据的证据，以及数据库中的敏感信息。 但是，微软客户应对电子邮件欺诈和技术支持欺诈保持警惕。

 
您必须记住，微软客户永远不会主动联系您，询问您的设备，因此，如果您之前没有联系，您应该有所警惕。