Datenleck bei Microsoft: 250 Millionen Support-Anfragen offen im Netz
Im Dezember 2019 waren mehr als 250 Millionen Support-Anfragen und die daraus resultierenden Support-Fälle des Microsoft-Supports auf fünf Servern des Unternehmens völlig ungeschützt von jedermann über das Internet abrufbar. Kompromittiert worden seien dabei unter anderem E-Mail- und IP-Adressen sowie die Wohnorte der Kunden.
Fehlerhafte Sicherheitsregeln als Ursache
Wie Microsoft jetzt über seinen eigenen Blog mitteilte, befanden sich die betroffenen Daten zwischen dem 5. und 31. Dezember 2019 ungeschützt im Netz. Grund dafür sollen fünf unzureichend gesicherte Elasticsearch-Server mit den Datenbanken des Microsoft Customer Service and Support (CSS) gewesen sein, die über fehlerhaft konfigurierte Sicherheitsregeln verfügten.
Der Entdecker der Daten, die bis ins Jahr 2005 zurückreichen, ist Bob Diachenko von der Sicherheitsfirma Comparitech, der mehr als 250 Millionen Support-Anfragen am 29. Dezember 2019 entdeckt und daraufhin umgehend das Unternehmen aus Redmond informiert hatte.
We’re thankful to Bob Diachenko for working closely with us so that we were able to quickly fix this misconfiguration, analyze data, and notify customers as appropriate.
Eric Doerr, General Manager, Microsoft
Daten wurden vorab unkenntlich gemacht
Microsoft will das Datenleck spätestens am 31. Dezember 2019 geschlossen haben und betonte darüber hinaus, dass viele der persönlichen Kundendaten bereits vorab unkenntlich gemacht worden seien.
Ein solches Vorgehen sei aber nicht in allen Fällen und bei allen Daten möglich gewesen, wie beispielsweise bei E-Mail-Adressen, die ein Leerzeichen enthielten. In solchen Szenarien sei das System nicht in der Lage gewesen, die Daten unkenntlich zu machen. Das Unternehmen hätte aber nun damit begonnen, betroffene Kunden zu informieren.
In some scenarios, the data may have remained unredacted if it met specific conditions. An example of this occurs if the information is in a non-standard format, such as an email address separated with spaces instead of written in a standard format (for example, “XYZ @contoso com” vs “XYZ@contoso.com”).
Microsoft
Während der Sicherheitsexperte Bob Diachenko betonte, dass er nicht ausschließen könne, dass neben ihm auch andere in dem genannten Zeitraum auf die Daten zugegriffen haben, sieht Microsoft selbst dafür aktuell keinerlei Anzeichen.