据一份新报告揭示，微软在去年下半年在线公开了近 2.5 亿的客户服务和支持记录。

Comparitech 的安全研究团队发现了五台服务器，每台服务器都包含与 Microsoft 支持代理和客户相同的 2.5 亿对话记录。这些记录所覆盖的时间段为 2005 年至 2019 年 12 月，其并没有使用密码保护或加密，这也意味着，任何可以访问互联网的人都可以对其进行访问。

安全研究人员团队由鲍勃·迪亚琴科（Bob Diachenko）领导，他解释说，大多数个人身份信息已从记录中删除。但是，仍然存在大量以纯文本格式存储的信息，包括：客户电子邮件地址，IP 地址，位置，CSS 声明和案例的描述，Microsoft 支持代理电子邮件，案例编号，案例解决方案，案例备注和标记为“机密”的内部注释。

Comparitech 分享的事件时间表的详细信息如下：

• 2019 年 12 月 28 日- 数据库被搜索引擎 BinaryEdge 索引
• 2019 年 12 月 29 日- Diachenko 发现了数据库并立即通知了 Microsoft。
• 2019 年 12 月 30 日至 31 日- Microsoft 保护了服务器和数据的安全。Diachenko 和微软继续进行调查和补救过程。
• 2020 年 1 月 21 日-微软调查后披露了有关该暴露的其他详细信息。

针对此事，微软总经理埃里克·多尔（Eric Doerr）表示：“我们感谢鲍勃·迪亚琴科（Bob Diachenko）与我们的密切合作，以便我们能够迅速纠正这种错误配置，分析数据并酌情通知客户。”

值得注意的是，尽管公开的数据本身不会带来太大的风险，但仍可以将其用于网络钓鱼诈骗，因此建议 Microsoft 客户注意这一点。

参考消息