微軟意外曝露2.5億筆的客服記錄

微軟稍早公開了一個資料庫錯誤事件，導致約 2.5 億筆的客服記錄被曝露在外，可以直接由網頁瀏覽查看。這個錯誤是由安全專家 Bob Diachenko 與安全公司 Comparitech 在去年跨年前夕的 12 月 29 日所發現，微軟並已在兩天後補上了漏洞。據稱，問題源自於其中一個內部服務器「設定錯誤」，同時微軟並沒有發現資料被取得或惡意使用的情況。

被曝露的資料，包括由 2005 年至今所有微軟客服與客戶間的文字對話記錄。雖然說並沒有什麼個資，但依然以純文字儲存了 Email 和 IP 位置等資訊，且沒有以密碼保護。如果有詐騙人士取得這個資料的話，將能更以假亂真地假扮微軟的客服人員吧。微軟已經開始通知受影響的客戶，並且表示「誠摯的歉意」及「將記取教訓並採取能避免未來再次發生類似事件的作為」。除了重新審視內部的安全規則之外，微軟也將增設自動屏蔽客戶敏感資料的工具，且加裝在設定錯誤時自動通知維謢團隊的係統。

這是微軟一年內第二起客服係統的重大失誤，去年四月時曾發生駭客使用客服人員的登入資訊取得客戶 Email 的事件。兩起事件的成因都是因為微軟的內部係統有著太高的權限，讓它們成為駭客眼中的肥肉，如果這次的事件能讓微軟警惕的話，也是件好事吧。