微软Outlook遭用户入侵长达近3个月 波及人数未知

今年早些时候，黑客攻击了微软客户支持门户网站，并获得使用微软Outlook服务注册的一些电子邮件账户的访问权限。他们不仅可以访问客户账户的信息，而且还包括与之通信的人。

微软通知其部分用户存在安全漏洞，并通过电子邮件确认：黑客在2019年1月至2019年3月28日期间访问了其Outlook账户的信息，包括使用Outlook和Hotmail的用户。

据外媒披露，一些Reddit用户确认收到微软数据泄露通知邮件，其中一人还发布了该邮件的图片。

在周末确认黑客攻击时，微软声称攻击者访问了受影响用户的电子邮件地址、文件夹名称、电子邮件主题行以及用户与之通信的其他电子邮件地址名称。

微软承认，黑客已经获得了一些客户电子邮件的内容，约占受影响人数的6%。据悉，由于被破坏的客户服务账户的访问级别有限，只有消费者账户受到影响，而不是付费企业账户。

在给受影响用户的电子邮件中，微软指出它“对此问题造成的任何不便感到遗憾，”并且应该“微软应该非常重视数据保护，并让其内部安全和隐私团队参与调查和解决问题。”

目前，微软并未提供有关黑客破坏员工账户方式的其他详细信息，包括受影响账户的数量。

微软在邮件中表示：“我们通过禁用受到破坏的凭据，并阻止肇事者的访问来解决这个影响有限的消费者账户的计划。”

微软还建议所有用户，甚至包括不是受影响的用户重置其微软账户的密码作为预防措施。

虽然对微软来说，数据泄露是一个问题，但更大的挑战可能是欧盟的参与。众所周知，在没有提供受影响人数的情况下，其中至少有些人在欧盟，这意味着数据泄露将属于欧盟《GDPR》(一般数据保护条例)。

因为《GDPR》规定：GDPR不仅适用于位于欧盟境内的企业组织机构，也适用于位于欧盟以外的企业组织机构，无论机构所在地位于哪里，只要其向欧盟数据主体提供产品、服务或者监控相关行为，或处理和持有居住在欧盟境内的数据主体的个人数据，都将受到GDPR法案的监管。

说人话就是，一个欧盟公民不管在内，你只要存储其数据，你的公司或企业就适用于《GDPR》。

因此，欧盟可能会调查微软是否遵守该规定，以及是否尽力防止黑客入侵。如果微软没遵守规定，那么可能会遭遇重罚。

《GDPR》规定，对于一般性的违法，罚款上限是1000万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的2%(两者中取数额大者);

对于严重的违法，罚款上限是2000万欧元，或者在承诺的情况下，最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者)。

附：邮件截图