[English]Bei Microsoft hat es letztes Jahr einen Datenschutzvorfall gegeben. Das Unternehmen hat Microsoft hat Ende letzten Jahres kurzzeitig Call-Center-Daten von fast 250 Millionen Kunden über mehrere ungesicherte Cloud-Server preisgegeben.
Anzeige
Insgeheim habe ich ja schon lange auf so etwas gewartet, war nur eine Frage der Zeit, bis einem Admin bei Microsoft so etwas passiert. Gerade bin ich über diesen Tweet auf das Thema aufmerksam geworden.
Microsoft Exposes 250 Million Call Center Records in Privacy Snafu https://t.co/3sCRl49bQG
— Infosecurity Mag (@InfosecurityMag) January 22, 2020
Der Sicherheitsforscher Bob Diachenko hat die Datenbanken laut diesem Artikel am 28. Dezember 2019, einen Tag nach der Indizierung von Datenbanken auf fünf Elasticsearch-Servern durch die BinaryEdge-Suchmaschine entdeckt.
Jeder dieser Datenbanken enthielt einen scheinbar identischen Fundus an Microsoft Customer Service and Support (CSS) (Support) Aufzeichnungen, die sich über einen Zeitraum von 14 Jahren erstreckten. Die Aufzeichnungen enthielten Telefongespräche zwischen Kundendienstmitarbeitern und Kunden aus dem Jahr 2005 bis zum Dezember 2019. Die Datenbanken mit den 250 Millionen Datensätzen waren laut Comparitech alle passwortlos und völlig ungeschützt. Die Datensätze enthielten u.a. folgende Daten im Textformat.
- E-Mail-Adressen der Kunden
- IP-Adressen, Standorte
Beschreibungen von CSS-Ansprüchen und Fällen - E-Mails des Microsoft-Support-Agenten
- Fallzahlen, Entschließungen und Anmerkungen
- Interne Notizen, die als "vertraulich" gekennzeichnet sind
Dies stellte nicht nur ein Phishing-Risiko dar, sondern auch eine wertvolle Datensammlung für Betrüger des technischen Supports, die sich als Call-Center-Agenten von Microsoft und anderen Unternehmen ausgeben, um Malware auf den Computern der Opfer zu installieren und Finanzdaten zu stehlen.
Microsoft-Kunden und Windows-Nutzer sollten sich vor solchen Betrügereien per Telefon und E-Mail Ausschau in Acht nehmen – ich hatte ja mehrfach im Blog vor so etwas gewarnt. Immer daran denken, dass Microsoft niemals proaktiv auf Benutzer zugeht, um deren technischen Probleme zu lösen – die Benutzer müssen sich zuerst an Microsoft wenden, um Hilfe zu erhalten. Microsoft-Mitarbeiter werden Benutzer nicht nach Ihrem Passwort fragen oder diese bitten, Remote-Desktop-Anwendungen wie TeamViewer zu installieren. Dies sind gängige Taktiken unter technischen Betrügern.
Das Problem der geleakten Daten: "Mit detaillierten Protokollen und Fallinformationen in der Hand haben Betrüger eine bessere Chance, gegen ihre Ziele erfolgreich zu sein", erklärte Paul Bischoff von Comparitech. "Wenn Betrüger die Daten vor der Sicherung erhalten haben, können sie diese ausnutzen, indem sie sich als ein echter Microsoft-Mitarbeiter ausgeben und sich auf eine echte Fallnummer beziehen. Von dort aus könnten sie nach vertraulichen Informationen fischen oder Benutzergeräte kapern."
Anzeige
Nachdem Diachenko die Firma am 29. Dezember informiert hatte, hatte sie bis zum 31. Dezember alle Daten gesichert. Microsoft wurde von den Sicherheitsforschern jedoch dafür gelobt, dass es schnell gehandelt hat, um die exponierten Server zu sperren.
Das Security Response Center von Microsoft hat diesen Artikel zum Vorfall veröffentlicht.Die Untersuchung von Microsoft hat ergeben, dass eine Änderung der Netzwerksicherheitsgruppe der Datenbank am 5. Dezember 2019 falsch konfigurierte Sicherheitsregeln enthielt, die eine Offenlegung der Daten ermöglichten. Nach der Benachrichtigung über das Problem haben die Ingenieure die Konfiguration am 31. Dezember 2019 korrigiert, um die Datenbank einzuschränken und den unbefugten Zugriff zu verhindern. Dieses Problem war spezifisch für eine interne Datenbank, die für die Analyse von Supportfällen verwendet wird, und stellt keine Gefährdung unserer kommerziellen Cloud-Dienste dar. Da haben wir noch mal Schwein gehabt!
Microsoft has emailed customers to inform them of a security vulnerability that exposed customer data to the Internet. Summary: an #Azure NSG rule was configured wrong. This is why I advocate that security should be done by people who know security + governance. pic.twitter.com/ILC7OAZZMd
— Aidan Finn (@joe_elway) January 22, 2020
Laut obigem Tweet hat Microsoft Kunden per E-Mail über den Sicherheitsvorfall informiert. Im Jahr 2013 brachen Hacker in die geheime Datenbank des Unternehmens ein, um Fehler in seiner Software zu verfolgen. Dieser Einbruch enthielt keine Benutzerinformationen und wurde nie offiziell gegenüber der Öffentlichkeit bestätigt. Und das von Microsoft übernommene LinkedIn wurde Opfer eines Hacks – dabei wurde z.B. meine E-Mail erbeutet, obwohl ich nicht bei LinkedIn ein Konto hatte (das war ein Beutefang, weil meine Daten als Videotrainer an aufkaufende Firmen weitergereicht wurden, DSGVO gab es damals nicht, daher ist LinkedIn ein No Go für mich).
Anmerkung: Mein Eingangssatz, dass ich lange auf so etwas gewartet habe, soll keine Häme sein. Mir ist es die letzten Tage wieder bewusst geworden, auf welch dünnem Grat wird wandeln, als ich ein Backup meiner WordPress-Blogs wegen einer bevorstehenden Wartung brauchte. Die Datenbanken und auch der Blog-Zugang ist geschützt. Ich hoffe auch, die Datenbank-Backups sind es. Als ich ein Backup-Plugin getestet habe, war mir alles andere als klar, wohin dieses das Backup schreibt (da wurde alles mögliche in der Cloud angeboten). Ich habe lokal sichern lassen und nach etwas suchen den Speicherort gefunden. Dann habe ich die Dateien gelöscht und die Sicherung des Hosters, der eine komprimierte Abbilddatei erstellt benutzt. Dieses Abbild liegt auf meiner Festplatte und wird auf dem Server gelöscht. Zeigt, dass das ganze Zeug eine Black-Box ist und dass ganz fix was passiert. Wir werden noch viele Datenschutzvorfälle haben – und die Situation ist der Grund, warum ich hier im Blog keine Newsletter, Anmeldungen, Kommentarbenachrichtigungen etc. unterstütze und in den Kommentaren am liebsten nix über meine Leser wissen und speichern will.
Ähnliche Artikel:
Datenleck beim Autovermieter Buchbinder
Microsoft-Betrugsanrufe – neue Welle (Nov./Dez. 2019)
LinkedIn: Hack bei Lynda.com, ca. 55.000 Konten betroffen
LinkedIn Werbung an 18 Millionen fremde E-Mail-Empfänger
LinkedIn ändert Datenschutzregeln, Profile sollen mit Drittanbietern geteilt werden
2015
Rein zufällig betreffen diese 250 Millionen Datensätze ausschliesslich Windows 7?
From El Reg's comments:
In the bulletin it says "misconfigurations are unfortunately a common error across the industry. We have solutions to help prevent this kind of mistake, but unfortunately they were not enabled for this database".
LOL