[English]Einem britischen App-Entwickler ist ein folgenreicher Fehler unterlaufen, weil er eine Microsoft Azure Blob ungeschützt in der Cloud betrieb. In Folge konnte öffentlich und ohne jegliche Zugangskontrolle auf über 500.000 vertrauliche Dokumente, teilweise mit medizinischen Daten, zugegriffen werden.
Anzeige
Was ist Azure Blob?
Azure Blob Storage ist die Objektspeicherlösung von Microsoft für die Cloud. Blobspeicher ist für die Speicherung großer Mengen unstrukturierter Daten optimiert. Unstrukturierte Daten sind Daten, die keinem bestimmten Datenmodell und keiner bestimmten Definition entsprechen (also beispielsweise Text- oder Binärdaten). Mehr Details lassen sich in der Beschreibung Einführung in Azure Blob Storage nachlesen.
Der Datenschutzvorfall
Ich bin bereits vor Tagen auf diesen Datenschutzvorfall gestoßen, der sich in Großbritannien ereignete und von The Register hier dokumentiert wurde. Der in Surrey ansässige Entwickler von Business-Apps, Probase, hatte eine Microsoft Azure-Blob zum Speichern der benötigten Daten verwendet. Der Blob gehörte zu einem CRM-Produkt des Entwicklers und enthielt 587.000 Dateien, von gesicherten E-Mails bis hin zu Briefen, Tabellenkalkulationen, Screenshots und mehr.
Fakt ist, dass diese Microsoft Azure-Blob aus der Cloud vollständig ungesichert per Internet erreichbar war. Jeder, der die benötigten URLs kannte, konnte auf die gespeicherten Informationen zugreifen. Es gab keine Sicherheitskontrollen für den Azure-Blob, d.h. die Daten konnten ohne Authentifizierung abgerufen werden. Wären es nur Testdaten gewesen, hätte man das achselzuckend zur Kenntnis nehmen können. Aber der Entwickler verwendete echte Daten aus speziellen Vorgängen. Der ungesicherte Microsoft Azure-Blob enthielt mehr als eine halbe Million vertraulicher und sensibler Dokumente von Kunden, die damit frei im Internet abrufbar waren.
Laut The Register gehörten zu den im Azure Blob enthaltenen Informationen arbeitsmedizinische Gutachten, Dokumente zu Versicherungsansprüchen von US-Firmen, die von Lloyds of London gezeichnet wurden, und private Meinungen von älteren Anwälten über jüngere Kollegen, die sich um eine Beförderung bewarben.
Der Blob enthielt auch Sicherheitsdokumente von FedEx-Sendungen, interne Beschwerden der Lebensmittelfirma Huel, einer Investment-Management-Firma und unzähligen anderen – und in mindestens einem Beispiel, das The Register laut eigener Aussage gesehen hat, einen Reisepass-Scan.
Die Adresse des ungesicherten Microsoft Azure Blob wurde von Oliver Hough, einem Infosec-Forscher, entdeckt. Dieser sorgt sich zunehmend um die Sicherheit der in Blobs (Azure, AWS etc.) gespeicherten Daten. gab dann die Informationen an The Register weiter, in der Hoffnung, dass der Zugang gesperrt wird, sobald der Besitzer des Azure Blob identifiziert sei. The Register zitiert den Sicherheitsforscher mit:
"Einen solchen Storage-Bucket zu finden, bei dem ein Anbieter alle Dateien seiner Kunden in einen einzigen Bucket gepackt hat, anstatt für jeden Kunden einen separaten Speicher zu erstellen, zeigt, dass auch im Jahr 2020 die Grundlagen eines sicheren Designs noch immer nicht befolgt werden."
In einer Erklärung des Probase-Direktor Paul Brown gegenüber The Register gab dieser an, dass man mit der Datenschutzaufsicht (Information Commissioner) zusammen arbeite, aber jeglichen Kommentar darüber verweigerte, seit wann der Azure Blob öffentlich verfügbar gewesen sei. Weitere Details, auch zu betroffenen britischen Kunden, lassen sich hier abrufen. Der Fall zeigt wieder einmal, wie lax häufig mit höchst brisanten Informationen umgegangen wird und wie wenig Sicherheitsdenken bei Entwicklern vorhanden ist.
2015
Deshalb sollte es Pflicht sein, das der Betreiber alle Daten seiner Firma und die persönlichen Daten der CEOs als erstes in jede DB eintragen MUSS!
Vielleicht wird dann mehr Sachverstand aufgewendet für die Daten.
Naja, ganz ehrlich: Ich würde im Sinne der DSGVO die Nutzung von Cloud-Dienstleistern untersagen, wenn personenbezogene Daten im Spiel sind. CDN's sind ja okay, aber der Amazon-Quatsch (oder Microsoft, oder …) sind mir stets ein Dorn im Auge.
Entweder hat ein Unternehmen die Kapazitäten dafür, eine eigene "kleine" Farm zu betreiben, oder sie läßt es bleiben. Selbst mit überschaubaren Mitteln ist eine solide "Cloud" für den Datenaustausch realisierbar, ohne Millionen von Euro verballern zu müssen. Wenn man allerdings erst IT-Consultants befragen muß… muß man sich nicht wundern, wenn das Geld für die wichtigen Dinge im Unternehmen nicht mehr reicht.
Bandbreite sollte eigentlich auch nicht mehr das ausschlaggebende Problem sein, etliche Stadtwerke bauen selber Glasfaser aus, für Industrie wird bei Bedarf auch gerne verlegt (mit Fördermitteln).
Aber gut, das ist nur meine bescheidene Meinung, die nicht mit der von anderen Personen übereinstimmen muß.
Die Frage ist doch nicht, ob Stadtwerke oder Amazon. Sondern wie nutze ich eine Cloud!
Und natürlich sind Clouds ohne Zweifel nötig.
Hast Du meinen Text gelesen, oder ihn nur überflogen? ^^
Kernaussage: Eine Cloud gehört in eigene(!) Hände und nicht einem Dienstleister anvertraut.
Und Glasfaser wird für die Industrie gerne und jederzeit gelegt, die Stadtwerke sind da atm recht aktiv (die zucken nur bei Privatkunden).
Sprich: So ziemlich jedes Unternehmen sollte daher mit eigenen mitteln imstande sein, eine eigene Cloud bereitzustellen.
Wieso Du meine Aussagen darüber nun durcheinanderwirbelst (die Frage ist doch nicht ob Stadtwerke oder Amazon) entzieht sich da meiner Kenntnis. Das kann nur beim Überfliegen passieren.
Du hast den vorherigen Kommentar nicht verstanden.
Deswegen für dich zum Nachdenken: glaubst du wirklich, dass jemand der es nicht schafft eine Cloud richtig abzusichern, obwohl dort aTools sowie unzählige Supportdokumemte, Support sowie eine Community vorhanden sind, es schafft einen selbst gestrickten eigenen Server zu betreiben?
Der Fehler lag hier nicht bei MS, sondern beim Entwickler/Verwender. Da wäre es vollkommen egal wo der Server steht.
Sieht man doch auch den ganzen Mailserver.
Wir betreiben bspw. seit langem keinen Mailserver mehr, weil es eben verdammt viel Expertise und Ressourcen kostet, so eine Infrastruktur verfügbar, sicher und funktional zu halten.
Das können andere besser UND billiger.
Genau so ist es hier auch.
@JohnRipper
Oh, ich habe den Kommentar durchaus zu Ende gedacht.
Darum noch mal für Dich zum nachdenken:
Jemand, der eine Cloud bucht, hat nicht 100 % der Möglichkeiten, sie adäquat abzusichern. Man hat ja nicht einmal Einfluß darauf, ob (bspw.) bei Intel-basierenden Systemen HTT deaktiviert ist, um "benachbarte" VMs zu schützen (Meltdown, Spectre – bei Intel noch immer ein Problem).
Ganz zu schweigen von anderen Einfallstoren, aká Wartungs- und Fernzugriffssysteme des Anbieters.
Die Schuld jetzt einzig und allein auf den abzuwälzen, der die Produkte gebucht hat, ist nur wenig zielführend – dem kann man nur den Vorwurf machen, eben eine solche Dienstleistung gebucht zu haben.
Schade, daß ihr keine eigenen Mailserver mehr betreibt. Wie handhabt ihr es denn mit der DSGVO, wenn Drittparteien den ungeschützten Verkehr mitlesen? Der schlimmste im Bunde ist Microsoft mit seinen Online-Diensten, der Zungangsdaten nutzbar speichert und sie dann für seine Systeme nutzt (bspw. Mailabruf via Android-Outlook – ganz ohne zutun des Nutzers – beeindruckend den Verkehr zu beobachten, wenn man einen eigenen Mailserver hat).
Verdammt viel Expertise benötigt man überall. Du läßt einen Gemüsehändler doch auch keine OP am Menschen durchführen. Dafür gibt es Administratoren. Am besten die, die nicht mit bunten Scheinen winken, die sie bei ebay gekauft haben um sich Zertifizierungen anzudichten, die sie nicht haben. Mit einem SQL-MTA von Microsoft kann man sich auch nur den Allerwertesten abwischen.
"Das können andere besser UND billiger"
Beim "billiger" dürfte das Problem liegen und "besser" halte ich für ein starkes Gerücht. Diese Leute kochen alle nur mit Wasser und auch wenn Du etwas 20 Jahre lang machst, kannst Du 20 Jahre lang etwas falsch machen.
Sensible und kritische Systeme gehören nicht in die Hände von Dienstleistern! Wer das nicht einsieht, hat den Sinn und Zweck der DSGVO (ehem. BDSG) nicht verstanden.
@Dat Bundesferkel: Deine Grundannahme ist und bleibt falsch und leider zeigst du mit deiner weiteren Antwort, dass immer noch nicht den Artikel bzw. das Problem in diesem Fall verstanden hast. Vielmehr offenbarst du, dass dafür kein Verständnis hast, da die Gegenargumente auf völlig anderen Ebene wirken.
Weiterhin behauptest Sachen, die ich nie zur Diskussion gestellt habe und weitest den Diskussionsradius unnötig aus.
So kann man nicht diskutieren.