微軟Outlook遭用戶入侵長達近3個月 波及人數未知

今年早些時候，黑客攻擊了微軟客戶支持門戶網站，並獲得使用微軟Outlook服務注冊的一些電子郵件賬戶的訪問權限。他們不僅可以訪問客戶賬戶的信息，而且還包括與之通信的人。

微軟通知其部分用戶存在安全漏洞，並通過電子郵件確認：黑客在2019年1月至2019年3月28日期間訪問了其Outlook賬戶的信息，包括使用Outlook和Hotmail的用戶。

據外媒披露，一些Reddit用戶確認收到微軟數據泄露通知郵件，其中一人還發布了該郵件的圖片。

在周末確認黑客攻擊時，微軟聲稱攻擊者訪問了受影響用戶的電子郵件地址、文件夾名稱、電子郵件主題行以及用戶與之通信的其他電子郵件地址名稱。

微軟承認，黑客已經獲得了一些客戶電子郵件的內容，約占受影響人數的6%。據悉，由於被破壞的客戶服務賬戶的訪問級別有限，隻有消費者賬戶受到影響，而不是付費企業賬戶。

在給受影響用戶的電子郵件中，微軟指出它“對此問題造成的任何不便感到遺憾，”並且應該“微軟應該非常重視數據保護，並讓其內部安全和隱私團隊參與調查和解決問題。”

目前，微軟並未提供有關黑客破壞員工賬戶方式的其他詳細信息，包括受影響賬戶的數量。

微軟在郵件中表示：“我們通過禁用受到破壞的憑據，並阻止肇事者的訪問來解決這個影響有限的消費者賬戶的計劃。”

微軟還建議所有用戶，甚至包括不是受影響的用戶重置其微軟賬戶的密碼作為預防措施。

雖然對微軟來說，數據泄露是一個問題，但更大的挑戰可能是歐盟的參與。眾所周知，在沒有提供受影響人數的情況下，其中至少有些人在歐盟，這意味著數據泄露將屬於歐盟《GDPR》(一般數據保護條例)。

因為《GDPR》規定：GDPR不僅適用於位於歐盟境內的企業組織機構，也適用於位於歐盟以外的企業組織機構，無論機構所在地位於哪裏，隻要其向歐盟數據主體提供產品、服務或者監控相關行為，或處理和持有居住在歐盟境內的數據主體的個人數據，都將受到GDPR法案的監管。

說人話就是，一個歐盟公民不管在內，你隻要存儲其數據，你的公司或企業就適用於《GDPR》。

因此，歐盟可能會調查微軟是否遵守該規定，以及是否盡力防止黑客入侵。如果微軟沒遵守規定，那麼可能會遭遇重罰。

《GDPR》規定，對於一般性的違法，罰款上限是1000萬歐元，或者在承諾的情況下，最高為上一個財政年度全球全年營業收入的2%(兩者中取數額大者);

對於嚴重的違法，罰款上限是2000萬歐元，或者在承諾的情況下，最高為上一個財政年度全球全年營業收入的4%(兩者中取數額大者)。

附：郵件截圖