Microsoft: Kundendaten von 65.000 Unternehmen frei einsehbar
Eine Sicherheitslücke eines von Microsoft fehlerhaft konfigurierten Azure-Servers ermöglichte es einer Sicherheitsfirma auf 2,4 Terabyte sensibler Kundendaten, darunter mehr als 300.000 E-Mails und zahlreiche geschäftliche B2B-Transaktionsdaten, von über 65.000 Geschäftskunden aus 111 Ländern ungehindert zuzugreifen.
Fehlerhafte Azure-Konfiguration gibt Kundendaten preis
Wie die Sicherheitsforscher von SOCRadar mitgeteilt haben, sei es ihnen aufgrund „einer einzigen Fehlkonfiguration“ einer sogenannten „Azure Blob Storage“ gelungen, völlig ungehindert auf die sensiblen Datensätze von mehr als 65.000 B2B-Kunden Microsofts zuzugreifen. Wie SOCRadar weiter ausführt, sei unter anderem ein „authentischer“ Zugriff auf geschäftliche Transaktionen möglich gewesen.
Das Sicherheitsunternehmen veröffentlichte zudem sowohl einen entsprechenden Proof-of-Execution (PoE) als auch ein Statement of Work (SoW).
Bereits am 24. September informierte SOCRadar die entsprechenden Stellen bei Microsoft, das daraufhin die fehlerhafte Konfiguration behob, die Sicherheitslücke schloss und damit den Server absicherte.
SOCRadar has detected that sensitive data of 65,000 entities became public because of a misconfigured server.
The leak includes Proof-of-Execution (PoE) and Statement of Work (SoW) documents, user information, product orders/offers, project details, PII (Personally Identifiable Information) data, and documents that may reveal intellectual property.
The first part of the collection is due to a misconfigured Azure Blob Storage. It can be considered one of the most significant B2B leaks, affecting more than 65,000 entities in 111 countries with sensitive data inside a single Bucket.
SOCRadar
SOCRadar, das mit seinem Cloud-Sicherheitsmodul öffentliche Server-Buckets überwacht, um jegliche Offenlegung von Kundendaten zu erkennen, nennt das größte Sicherheitsleck „BlueBleed I“ und weißt darauf hin, dass bereits weitere Unternehmen informiert wurden.
Insgesamt seien mehr als 150.000 Unternehmen aus 123 Ländern betroffen, die meisten durch das größte der Sicherheitslecks bei Microsoft.
SOCRadar’s built-in Cloud Security Module monitors public buckets to detect any information exposure of customer data. Among many discovered public buckets, six large ones contained information for more than 150,000 companies in 123 different countries.
SOCRadar
Sobald die Untersuchungen abgeschlossen seien, werden sich die Sicherheitsforscher mit weiteren Details zu BlueBleed I und den anderen Datenlecks zu Wort melden, heißt es in der Veröffentlichung weiter.
Microsoft relativiert das Datenleck
Microsoft selbst, das am 24. September informiert wurde und eigenen Angaben zufolge umgehend alle erforderlichen Maßnahmen getroffen habe, relativiert das Datenleck und wirft den Sicherheitsforschern von SOCRadar vor, „die Zahl der betroffenen Personen zu übertreiben“.
We appreciate SOCRadar informing us about the misconfigured endpoint, but after reviewing their blog post, we first want to note that SOCRadar has greatly exaggerated the scope of this issue.
Our in-depth investigation and analysis of the data set shows duplicate information, with multiple references to the same emails, projects, and users. We take this issue very seriously and are disappointed that SOCRadar exaggerated the numbers involved in this issue even after we highlighted their error.
More importantly, we are disappointed that SOCRadar has chosen to release publicly a “search tool” that is not in the best interest of ensuring customer privacy or security and potentially exposing them to unnecessary risk.
Microsoft
Nachdem die Sicherheitsforscher mit dem Proof-of-Execution (PoE) und dem Statement of Work (SoW) an Microsoft herangetreten sind, habe das Unternehmen umgehend alle betroffenen Kunden entsprechend informiert.
Unternehmen, die überprüfen wollen ob sie selbst von dem Datenleck betroffen sind, können dies über das eigens von den Sicherheitsforschern von SOCRadar zur Verfügung gestellte Such-Tool für BlueBleed tun. Auch diese Maßnahme wird von Microsoft kritisiert, das gerne selbst die Deutungshoheit über das Datenleck hätte.
Weitere Informationen liefern der ausführliche Bericht der Sicherheitsforscher sowie die Stellungnahme von Microsoft.