ComputerBase Menü
Registrieren
Suche
  1. ComputerBase
  2. Netzpolitik

Datenleck bei Microsoft: 250 Millionen Support-Anfragen offen im Netz

Sven Bauduin
53 Kommentare
Datenleck bei Microsoft: 250 Millionen Support-Anfragen offen im Netz
Bild: Microsoft

Im Dezember 2019 waren mehr als 250 Millionen Support-Anfragen und die daraus resultierenden Support-Fälle des Microsoft-Supports auf fünf Servern des Unternehmens völlig ungeschützt von jedermann über das Internet abrufbar. Kompromittiert worden seien dabei unter anderem E-Mail- und IP-Adressen sowie die Wohnorte der Kunden.

Fehlerhafte Sicherheitsregeln als Ursache

Wie Microsoft jetzt über seinen eigenen Blog mitteilte, befanden sich die betroffenen Daten zwischen dem 5. und 31. Dezember 2019 ungeschützt im Netz. Grund dafür sollen fünf unzureichend gesicherte Elasticsearch-Server mit den Datenbanken des Microsoft Customer Service and Support (CSS) gewesen sein, die über fehlerhaft konfigurierte Sicherheitsregeln verfügten.

Der Entdecker der Daten, die bis ins Jahr 2005 zurückreichen, ist Bob Diachenko von der Sicherheitsfirma Comparitech, der mehr als 250 Millionen Support-Anfragen am 29. Dezember 2019 entdeckt und daraufhin umgehend das Unternehmen aus Redmond informiert hatte.

We’re thankful to Bob Diachenko for working closely with us so that we were able to quickly fix this misconfiguration, analyze data, and notify customers as appropriate.

Eric Doerr, General Manager, Microsoft

Daten wurden vorab unkenntlich gemacht

Microsoft will das Datenleck spätestens am 31. Dezember 2019 geschlossen haben und betonte darüber hinaus, dass viele der persönlichen Kundendaten bereits vorab unkenntlich gemacht worden seien.

Ein solches Vorgehen sei aber nicht in allen Fällen und bei allen Daten möglich gewesen, wie beispielsweise bei E-Mail-Adressen, die ein Leerzeichen enthielten. In solchen Szenarien sei das System nicht in der Lage gewesen, die Daten unkenntlich zu machen. Das Unternehmen hätte aber nun damit begonnen, betroffene Kunden zu informieren.

In some scenarios, the data may have remained unredacted if it met specific conditions. An example of this occurs if the information is in a non-standard format, such as an email address separated with spaces instead of written in a standard format (for example, “XYZ @contoso com” vs “XYZ@contoso.com”).

Microsoft

Während der Sicherheitsexperte Bob Diachenko betonte, dass er nicht ausschließen könne, dass neben ihm auch andere in dem genannten Zeitraum auf die Daten zugegriffen haben, sieht Microsoft selbst dafür aktuell keinerlei Anzeichen.

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz