News Microsoft: Kundendaten von 65.000 Unternehmen frei einsehbar

SVΞN

Redakteur a.D.
Registriert
Juni 2007
Beiträge
22.987
Eine Sicherheitslücke eines von Microsoft fehlerhaft konfigurierten Azure-Servers ermöglichte es einer Sicherheitsfirma auf 2,4 Terabyte sensibler Kundendaten, darunter mehr als 300.000 E-Mails und zahlreiche geschäftliche B2B-Transaktionsdaten, von über 65.000 Geschäftskunden aus 111 Ländern ungehindert zuzugreifen.

Zur News: Microsoft: Kundendaten von 65.000 Unternehmen frei einsehbar
 
  • Gefällt mir
Reaktionen: c[A]rm[A], PietVanOwl, Andy4 und 8 andere
Wo Menschen arbeiten, passieren auch mal fehlerhafte Konfigurationen. Damit kann man Risiko-/Nutzenabwägend leben oder man muss konsequent alles an Kommunikation abschalten....
 
  • Gefällt mir
Reaktionen: butchooka, noxon, killbox13 und 11 andere
Was war doch gleich immer das Argument für die Cloud? Da kümmern sich Profis drum damit alles sicher läuft. :)

Das mag auch so sein. Das Problem bei Cloud ist aber, wenn da denn doch mal was schief geht ist das immer gleich ein immenser Schaden. Und wie oft hatten wir das jetzt schon das Daten "wegkommen" oder ein ausgefallender Cloud-Dienst zig andere Dienste mit in den Abgrund reißt.
 
  • Gefällt mir
Reaktionen: bullit1, horse with 11, up.whatever und 30 andere
@ComputerJunge
Wird wenig ändern, da zumindest bei den mir bekannten Großkonzerne Microsoft-Anwendungen und Dienste so stark integriert sind, dass es selbst auf Jahre hinaus alternativlos ist.
 
  • Gefällt mir
Reaktionen: riloka, NedFlanders, Slayher666 und 4 andere
Hui, mal nen paar Firmennamen reingeballert und zack schlug an. BMW z.B. aber auch Microsoft selbst ^^ bayer hingegen stabil.... lustig ^^ ALLE AB IN DIE CLOUD ! ALLES SUPA DUPA DA !
 
  • Gefällt mir
Reaktionen: riloka, Sammy2k8, roaddog1337 und 6 andere
Man kann im nachhinein immer sagen Sicherheitslücke ;)
 
  • Gefällt mir
Reaktionen: horse with 11 und das_ICH
washieiko schrieb:
Hui, mal nen paar Firmennamen reingeballert und zack schlug an. BMW z.B. aber auch Microsoft selbst ^^ bayer hingegen stabil.... lustig ^^ ALLE AB IN DIE CLOUD ! ALLES SUPA DUPA DA !
was meinst Du mit "bayer hingegen stabil..."? bayer.com ist auch detected.

Ich frage mich aber schon über den Sinn eines solchen Tools. Bei privaten Accounts im Zusammenhang mit gehackten Passwörtern macht das ja Sinn. Aber in diesem Falle? Wozu? Wieso hätte SOCRadar das nicht einfach MS melden können und gut ist? Fehler können immer passieren. Es gibt Abermillionen von unentdeckten Sicherheitslücken. Wenn die alle offenbart wären, dann hätten wir kaum eine bessere Welt.
 
.Sentinel. schrieb:
Damit kann man Risiko-/Nutzenabwägend leben oder man muss konsequent alles an Kommunikation abschalten....
Nein, muss man nicht. Das Leben besteht nicht nur aus 1 oder 0 bzw. Schwarz oder Weiß.
Es gibt auch Lösungen die anders aufgebaut sind bzw. mehr Sicherheit bieten.

Meiner Meinung nach redet man sich die Sache so einfach nur schön, anstatt sich mit der Thematik wirlkich auseinanders zu setzten und etwas Arbeit/Zeit für seine Sicherheit zu investieren.

Just my 2 Cents.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Dark_Soul, AssembIer, ErbarmeHesse und 5 andere
Würde mich interessieren um welche Daten es konkret geht. Meine Firma ist nicht dabei, wir nutzen aber auch keinen Azure Blob Storage.
 
Die Zahl der betroffenen Unternehmen, die Art der Dokumente und eine von mir durchgeführte Stichprobe (mal ein paar deutsche IT-Dienstleister probieren, z.B. Bechtle, Cancom und auch kleinere, sowie DAX-Konzerne) lassen vermuten, dass es sich um eine Anwendung handelt, mit der Microsoft bestimmte B2B-Dienstleistungsverträge managt, oder noch wahrscheinlicher ein Incentive-Programm für Partner, bei dem diese für B2B-Dienstleistungsverträge vergütet werden - also z.B. Partner macht eine Migration von 1.000 VMs bei einem DAX-Konzern, Projekt kostet 200k, Microsoft bezuschusst mit 60k. Diese Verträge werden dann z.B. in so einem Portal hochgeladen, und wenn bestimmte Anforderungen erfüllt sind, fließt der Zuschuss an den Partner.

Wenn dem so wäre, wäre der Owner der Anwendung entweder die Enterprise-Vertriebsorganisation, oder die Partner-Vertriebsorganisation. Hier gibt es dann Program Manager, die solche Programme aufsetzen, mit den zugehörigen Prozessen und Tools. Bei solchen Aktivitäten werden dann regelmäßig externe Dienstleister mit der Entwicklung beauftragt (und natürlich ist vorgegeben, dass es auf Azure laufen muss).

Das bedeutet aber auch, dass es keine Rückdeutung gibt auf die Sicherheit der Cloud, sondern dass einfach der Architekt oder die umsetzenden Projektmitarbeiter einen Fehler bei der Nutzung von Azure Blob Storage gemacht haben. Und ggf. die Anforderungen von Microsoft bei der Beschaffung/Zertifizierung des externen Dienstleisters, der die Anwendung geschrieben hat, nachlässig waren.

Das ist sehr peinlich, aber nicht dramatisch. Z.B. bei Endkundendaten aus Azure oder Microsoft 365 (also z.B. die Vertragsanschrift meiner privaten Microsoft 365 Subscription, oder eines Azure-Kontos) würde organisatorisch völlig anders vorgegangen, und ich habe weiterhin großes Vertrauen in die Sicherheit. Und noch größere in die Sicherheit meiner E-Mails, OneDrive oder von mir aus meines Azure root users o.ä.

Man könnte anders auch sagen: "Zwilling-Mitarbeiter hat sich bei der Vorführung eines Küchenmessers geschnitten", was jetzt nicht unbedingt gegen das Messer spricht.

Oder "BMW-Mitarbeiter in Autounfall verwickelt".
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: floTTes, gopeter, Dimensionday und 9 andere
Seppuku schrieb:
Wird wenig ändern, da zumindest bei den mir bekannten Großkonzerne Microsoft-Anwendungen und Dienste so stark integriert sind, dass es selbst auf Jahre hinaus alternativlos ist.
Das ist auch bei uns (mittlerer Mittelstand) so.

Am Trend wird sich auch nichts ändern, und selbst ich sehe mittlerweile die vielen Vorzüge "der Cloud" für den Enterprise-Bereich. Und in vielen Fällen halte ich den Cloud-Ansatz mittlerweile selbst für alternativlos, sowohl ökonomisch als auch architekturell.

Aber kurzfristig dürfte es sich m. E. umsatzmäßig auswirken, da sich eingeplante anstehende Entscheidungen auf Seiten potentieller Kunden um ein, zwei Quartale verschieben können/werden.
 
Xnfi01 schrieb:
Meiner Meinung nach redet man sich die Sache so einfach nur schön, anstatt sich mit der Thematik wirlkich auseinanders zu setzten und etwas Arbeit/Zeit für seine Sicherheit zu investieren.

Just my 2 Cents.
Du kriegst kein bidirektional im Netz kommunizierendes System diesen Umfangs sicher.
Wenn nicht das Netz die Schwachstelle darstellt, dann ist es die darunter liegende Plattform, die Abstraktionsschicht, die Hardware, den Administratoren oder in letzter Instanz oftmals der Mensch.

Ich denke auch Du weisst, dass im Falle Azure schon einiges an Arbeit/Zeit für die Sicherheit investiert wird.
Es stellt sich hier die Frage, welche Schicht dort "versagt" hat.
 
  • Gefällt mir
Reaktionen: floTTes und tomgit
machiavelli1986 schrieb:
was meinst Du mit "bayer hingegen stabil..."? bayer.com ist auch detected.

Ich frage mich aber schon über den Sinn eines solchen Tools. Bei privaten Accounts im Zusammenhang mit gehackten Passwörtern macht das ja Sinn. Aber in diesem Falle? Wozu? Wieso hätte SOCRadar das nicht einfach MS melden können und gut ist? Fehler können immer passieren. Es gibt Abermillionen von unentdeckten Sicherheitslücken. Wenn die alle offenbart wären, dann hätten wir kaum eine bessere Welt.
Hab bayer.de gecheckt :) Denke die Liste ist ziemlich lang, waren ja nur paar Versuche ins Blaue
 
M$ ist ein unglaublicher Saftladen. Anstatt sich bei der Firma zu bedanken, bringen die noch dumme Sprüche.
 
  • Gefällt mir
Reaktionen: Newbie_9000, Farcrei, Hellsfoul und 2 andere
NOTAUS schrieb:
M$ ist ein unglaublicher Saftladen. Anstatt sich bei der Firma zu bedanken, bringen die noch dumme Sprüche.
Zitat:
We appreciate SOCRadar informing us about the misconfigured endpoint...

Und ich finde auch, dass diejenigen, die diese Informationen veröffentlichen eine gewisse Verantwortung haben und zumindest höchste Seriösität walten lassen sollten.
So sollte man schon, bevor man Sensationszahlen nach außen gibt, die Dubletten vorher entfernen....
 
  • Gefällt mir
Reaktionen: maloz, floTTes, SI Sun und 6 andere
Nach der ersten Hälfte wollte ich mich ja sogar noch ausnahmsweise positiv über Microsoft und deren schnelle Reaktion äussern...und dann kommt der letzte Absatz 🤦‍♂️
MS kann es einfach nicht lassen, sich in die Nesseln zu setzen...
 
  • Gefällt mir
Reaktionen: Lemiiker und FR3DI
.Sentinel. schrieb:
Es stellt sich hier die Frage, welche Schicht dort "versagt" hat.
Naja, wenn das eine Fehlkonfiguration war, dann wohl die die am allermeisten versagt. Der Mensch wahrscheinlich.
Spannend wäre die Frage, warum es diese Abweichung vom (hoffentlich vorhandenen) Template gab.
Ist ja nicht so, als hätten die da nur so ein paar Blobs rumstehen.
 
  • Gefällt mir
Reaktionen: floTTes, tomgit und .Sentinel.
Zurück
Oben