本週三,微軟表示已完成對某個安全漏洞的修復工作。早在 2019 年 12 月,就已經曝出了洩露客戶資料庫的嚴重 bug 。慶幸的是,目前尚未發現有資料被惡意使用。
官方部落格的一篇文章寫到:12 月 5 日,Azure 資料庫安全規則中的一個錯誤配置,使得數百萬客戶的支援記錄被暴露。
【題圖 via Cnet】
在收到問題警報後,工程師於 12 月 31 日修復了該問題。儘管尚無資料被惡意使用的報告,但微軟正在向客戶透明地披露。
遺憾的是,配置錯誤是全行業內都相當常見的錯誤。我們有解決方案來防止這種錯誤,但卻尚未為該資料庫啟用這些措施。
據我們瞭解,定期檢查自己的配置、並確保啟用所有可行的措施,將獲得更加全面的防護。
至於儲存在資料庫中的大多數客戶資料,其實已經剔除了個人資訊。對於那些可能未編輯其資訊的客戶,該公司也將與之取得聯絡。
Comparitech 安全研究員 Bob Diachenko 指出:安全漏洞最初發現於 12 月 28 日,但在向微軟發出警告後,該公司在兩天後完成了修復。
對於此事,微軟表示正在採取如下措施,以防止將來發生類似的意外:
(1)稽核內部資源中已建立的網路安全規則。
(2)擴充套件檢測安全規則配置錯誤的機制範圍。
(3)當檢測到配置錯誤時,向服務團隊附加其它警報。
(4)實施其它可行的自動化修訂。
本週三,微軟表示已完成對某個安全漏洞的修復工作。早在 2019 年 12 月,就已經曝出了洩露客戶資料庫的嚴重 bug 。慶幸的是,目前尚未發現有資料被惡意使用。
官方部落格的一篇文章寫到:12 月 5 日,Azure 資料庫安全規則中的一個錯誤配置,使得數百萬客戶的支援記錄被暴露。
【題圖 via Cnet】
在收到問題警報後,工程師於 12 月 31 日修復了該問題。儘管尚無資料被惡意使用的報告,但微軟正在向客戶透明地披露。
遺憾的是,配置錯誤是全行業內都相當常見的錯誤。我們有解決方案來防止這種錯誤,但卻尚未為該資料庫啟用這些措施。
據我們瞭解,定期檢查自己的配置、並確保啟用所有可行的措施,將獲得更加全面的防護。
至於儲存在資料庫中的大多數客戶資料,其實已經剔除了個人資訊。對於那些可能未編輯其資訊的客戶,該公司也將與之取得聯絡。
Comparitech 安全研究員 Bob Diachenko 指出:安全漏洞最初發現於 12 月 28 日,但在向微軟發出警告後,該公司在兩天後完成了修復。
對於此事,微軟表示正在採取如下措施,以防止將來發生類似的意外:
(1)稽核內部資源中已建立的網路安全規則。
(2)擴充套件檢測安全規則配置錯誤的機制範圍。
(3)當檢測到配置錯誤時,向服務團隊附加其它警報。
(4)實施其它可行的自動化修訂。