250 milionów rekordów z bazy supportu Microsoftu (za ostatnie 14 lat!) było dostępne publicznie

W stosowny oświadczeniu Microsoft opisuje całą sprawę w niezbyt jasny sposób. „Wewnętrzna baza” (czy była dostępna z zewnątrz?), „większość rekordów nie posiadało danych osobowych” (ale dane osobowe stanowiły 1 czy raczej 49% całej bazy?), czy aby pobrać dane wymagane było jakieś uwierzytelnienie?

Więcej precyzyjnych informacji można jednak odnaleźć w tym miejscu. Otóż tym razem ponownie chodziło o stary, (nie)dobry Elasticsearch wystawiony do Internetu bez uwierzytelnienia. W ogromnej bazie (250 milionów rekordów) mieliśmy logi rozmów pomiędzy supportem Microsoftu a klientami. A to wszystko za ostatnie 14 lat:

The records contained logs of conversations between Microsoft support agents and customers from all over the world, spanning a 14-year period from 2005 to December 2019.

Bob Diachenko, który zlokalizował problem, przesłał stosowną informację do Microsoftu 29 grudnia 2019 roku, a 30/31 grudnia baza została zabezpieczona. Badacz potwierdza że rzeczywiście większość danych była zanonimizowana, choć w pewnych przypadkach można było znaleźć:

• emaile
• adresy IP
• wewnętrzne notki oznaczone jako „poufne”
• opisy zgłoszonych problemów
• sposoby rozwiązania
• …

Na koniec może pojawić się pytanie – w jaki konkretnie sposób udało się zlokalizować wyciek? Badacz wspomina tutaj o platformie binaryedge; my z kolei pokażemy w praktyce kilka ciekawych technik pasywnego rekonesansu podczas jednej z prezentacji na mega sekurak hacking party.