ComputerBase Menü
Aktuelles

News Microsoft: Freizügiges SAS-Token legte 38 TB interne Daten offen

coffee4free

coffee4free

Lt. Junior Grade
Registriert
Okt. 2015
Beiträge
269
Schon im Sommer 2020 hatten KI-Forscher von Microsoft versehentlich ein SAS-Token auf GitHub veröffentlicht, das mit weitreichenden Zugriffsrechten auf ein Azure-Storage-Konto des Konzerns ausgestattet war. Erst drei Jahre später entdeckten Sicherheitsforscher von Wiz das Datenleck und machten die Redmonder darauf aufmerksam.

Zur News: Microsoft: Freizügiges SAS-Token legte 38 TB interne Daten offen
 
  • Gefällt mir
Reaktionen: PietVanOwl, Vasilev, Gurkenwasser und 2 andere
Und bevor hier gleich alle wild lostreten: Den Artikel bitte lesen und verstehen, darüber hinaus ist der Kommentarbereich NICHT zum pauschalen Bashing gedacht.

Die Diskussion bitte sachlich halten.

Mein persönlicher Senf dazu:
Mies gelaufen, richtig mies gelaufen. Das passiert, wenn man nicht aufpasst und ist der Grund weshalb man seine Mitarbeiter in solchen Vorgängen schult (und selbst dann passiert es noch, wie wir hier sehen).
Hier haben zwei Leute im Grunde beim "Teilen.."-Link erstellen Mist gebaut und das ist unabhängig vom verwendeten System quasi überall möglich.
Ändert natürlich nichts daran, dass es mal wieder ein Schnitzer ist, der die Wunde ein wenig weiter aufreißt und bedeutet vermutlich für die entsprechenden Mitarbeiter auch Konsequenzen. Idealerweise gibts dann künftig klügere User und verbesserte Kontrollmechanismen für eben diese bei den Anbietern.
 
  • Gefällt mir
Reaktionen: flo.murr, h00bi, CableGuy82 und 12 andere
Bitter Bitter.
Das lässt einen natürlich wundern, ob für das Abhandenkommen des Azure-Masterkeys wirklich ein so umständlicher Weg über einen ausgeschleusten Dump genommen werden musste, wie es die offiziellen "Untersuchungsergebnisse" behaupten :freak:

Zeigt aber so oder so sehr schön, dass selbst Microsoft das Thema "Cloud" nicht im Griff hat bzw dass das (unvermeidliche) menschliche Versagen in einer solchen Umgebung einfach ein massiv höheres Schadenspotential als bei on prem darstellt...
 
  • Gefällt mir
Reaktionen: Spike Py, CableGuy82, Land_Kind und eine weitere Person
Microsoft ist die Problematik der unbegrenzt gültigen SAS durchaus bewusst; bestimmte Azure-APIs akzeptieren solche SAS nämlich erst gar nicht. Besser wäre es natürlich wie im Artikel geschrieben, ein System für die Verwaltung und Monitoring der SAS aufzubauen und gar nicht erst die Möglichkeit zu bieten, unbegrenzte SAS zu erzeugen.
 
  • Gefällt mir
Reaktionen: CableGuy82, Ben99, konkretor und 3 andere
38 TB ? Das ist wirklich sehr sehr viel - ich habe schon an verschiedenen Unternehmenskäufen -verkäufen mitgewirkt - die Datenräume hier sind klassicherweise 1-10 GB gewesesen...
 
Zensai schrieb:
Und bevor hier gleich alle wild lostreten: Den Artikel bitte lesen und verstehen, darüber hinaus ist der Kommentarbereich NICHT zum pauschalen Bashing gedacht.
Zum Vergrößern anklicken....

Danke Dir dafür! :)

Zum Topic:

Irgendwie "beruhigt" es mich, dass es selbst Mitarbeitern bei Microsoft (klar, warum sollte es anders sein?) passiert den berühmten berüchtigten "Haken an der falschen Stelle" zu setzen und damit wesentlich mehr Rechte zu gewähren als man eigentlich beabsichtigt hatte. Es ist mir in der Vergangenheit auch schon öfters passiert oder ich habe es bei Kollegen festgestellt, dass unter Windows mal eben Optionen angewählt/abgewählt waren, welche rein von der Beschreibung her nicht mal im Ansatz widergespiegelt haben, welche Auswirkungen diese dann im Endeffekt haben würden. Sei das jetzt in den GPOL's oder irgendwelchen Domainverwaltungstools oder eben auch nur bei der Freigabe von Sharepoint Inhalten...

Das Ganze ist oft viel zu komplex und auf zu viele Menüs verteilt und lässt sich ohne weitere Abfragen aktivieren, aber Hauptsache ich muss das simple Löschen einer Datei eidesstattlich bestätigen. ;)
 
Ist das vielleicht auch der Grund für den Leak im Übernahmestreit mit der FTC gewesen?
 
Djura schrieb:
Ist das vielleicht auch der Grund für den Leak im Übernahmestreit mit der FTC gewesen?
Zum Vergrößern anklicken....
Wenn die FTC nun 38TB Daten auf ihrer Seite gelöscht hat dann ja.
Nein, dass hat nichts damit zutun.

Sehr großes shit Happens
 
  • Gefällt mir
Reaktionen: Djura
Zensai schrieb:
Hier haben zwei Leute im Grunde beim "Teilen.."-Link erstellen Mist gebaut und das ist unabhängig vom verwendeten System quasi überall möglich.
Zum Vergrößern anklicken....
Das Problem dabei ist ja nicht, das da irgendwie irgendwelche Mitarbeiter zu doof waren und sich ungeschickt angestellt haben oder das man hätte ein Bestätigungsdialog mehr gebraucht hätte oder was auch immer.
Das sind eher so Symptomatiken. Ich würde da eher den Blick auf die zugrundeliegenden Ursachen lenken.
Das eigentliche Grundproblem ist doch, das Digitalkonzerne im großen Stil und übergriffigerweise alle Daten sammeln, deren sie habhaft werden können.
Das Daten "wegkommen" können ist doch nun keine Überraschung. Und da ändert auch nix daran, wenn Mitarbeiter besser aufpassen oder auch die Sicherheitssysteme besser werden.

Microsoft tut es ja auch in keinster Weise leid, das da irgendwie private Dinge von Kunden abhanden gekommen sind. Deren primäres Problem ist der Image-Schaden und das evtl. die Konkurrenz ihre Trainingsdaten nutzen kann.

Und das ist dann auch, was die Kritik auslöst. Das man halt kein Verantwortungsbewusstsein für die Kunden hat und es einzig und allein darum geht, da möglichst viel Geld raus zu holen.
Und jetzt kann man natürlich sagen: Ja. Die Welt und er Kapitalismus ist nun mal so. Das heißt aber noch nicht, das man das nicht kritisieren darf und das auf ewig so bleiben muss.
 
andy_m4 schrieb:
Microsoft tut es ja auch in keinster Weise leid, das da irgendwie private Dinge von Kunden abhanden gekommen sind.
Zum Vergrößern anklicken....
Aber genau das ist doch gar nicht passiert! Was da zugänglich war, waren neben den Trainingsdaten zwei Backups von Mitarbeitern von Microsoft, Weil die eben ihre Backups auf dem Storage liegen hatten und einen Link für den ganzen Storage geteilt haben, statt nur für die Trainingsdaten.

Und in dem ganzen Ding gibts nicht einen Bezug zu gesammelten Daten (die Trainingsdaten mal außen vor die irgendwo herkommen müssen, aber das ist gar nicht der Punkt in dieser News).

Deswegen verstehe ich deinen Punkt überhaupt nicht. So ganz allgemein gesprochen in Hinsicht auf Cloud magst du Punkte haben, aber eben die sind doch genau das, was hier NICHT Teil der News ist, siehe mein erster Beitrag.
 
Was ich nicht so ganz verstehe: muss man für die Erstellung so eines Tokens nicht auch die entsprechenden Zugriffs-Rechte haben? Und wenn ja: wer hat denn auf dieser Ebene Rechte und hat Zugriff auf einen kompletten 38TB Speicherpool (oder wie das dann heißt)? Ein normaler Mitarbeiter sollte doch nur Zugriff auf einen Bruchteil so eines Speichers haben, oder verstehe ich hier etwas grundlegend falsch?

Zensai schrieb:
Hier haben zwei Leute im Grunde beim "Teilen.."-Link erstellen Mist gebaut und das ist unabhängig vom verwendeten System quasi überall möglich.
Zum Vergrößern anklicken....
In meinen Augen ist hier allerdings das System was so etwas zulässt das größere Problem, als die Mitarbeiter die falsch geklickt haben. Insbesondere auch, dass das ganze jahrelang unentdeckt blieb.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz