Microsoft konnte 250 Millionen Kunden-Support-Protokolle nicht schützen

Es mag nicht so aussehen, aber große Technologie-Giganten sitzen nie still. Manchmal sind die Änderungen für Millionen von Benutzern unsichtbar, doch hinter den Kulissen aktualisieren und optimieren IT-Unternehmen ständig ihre internen Abläufe, um einen reibungslosen Betrieb zu gewährleisten. Wir dürfen jedoch nicht vergessen, dass das Implementieren kleinerer Optimierungen ein komplizierter Prozess ist und Fehler auftreten können. Leider hat Microsoft uns gestern gezeigt, dass die Konsequenzen bei einem Fehler oftmals ziemlich furchterregend sind.

Alles begann am 28. Dezember 2019, als die Bedrohungsdaten-Suchmaschine BinaryEdge einen Cluster von fünf Elasticsearch-Servern indizierte, die alle eine identische Sammlung von 250 Millionen Datensätzen enthielten. Innerhalb eines Tages entdeckte der Sicherheitsforscher Bob Diachenko die Server und stellte fest, dass sie durch keinerlei Authentifizierung geschützt waren. Diachenko tat sich mit Forschern von Comparitech zusammen, die ihm dabei halfen, zu dem Schluss zu kommen, dass die Datenbank Microsoft gehörte. Der Hersteller des weltweit beliebtesten Betriebssystems wurde sofort benachrichtigt, und einen Tag später waren die Server bereits offline. Nachdem die Daten gesichert waren, leitete das Security Response Team von Microsoft eine Untersuchung ein und erzählte gestern allen, was passiert war.

Microsoft hat Millionen von Support-Protokollen durchgesickert

Bei den 250 Millionen Datensätzen handelte es sich tatsächlich um Unterstützungsprotokolle, die zwischen 2005 und Dezember 2019 erstellt wurden. Es handelt sich um eine umfangreiche Sammlung von Daten, die sich über einen großen Zeitraum erstrecken. Glücklicherweise werden die Personen, die in dieser Zeit auf das Microsoft-Kundendienstteam zurückgreifen mussten, erfreut sein zu erfahren, dass die meisten Einträge keine persönlich identifizierbaren Informationen enthielten. Wenn Sie Microsoft um Hilfe bitten, müssen Sie in der Regel Ihre E-Mail-Adresse und gelegentlich auch andere Kontaktdaten angeben. Der in Redmond ansässige Riese hat sich jedoch Gedanken über die Privatsphäre seiner Kunden gemacht und Mechanismen implementiert, die die persönlichen Daten vor dem Speichern auf einem Server automatisch ändern. Diese Mechanismen sind jedoch nicht unfehlbar.

In einem nicht erkannten Format eingegebene Informationen umgehen das Anonymisierungsverfahren, dh E-Mail-Adressen, in denen beispielsweise Leerzeichen enthalten sind, werden nicht redigiert. Die Sicherheitsexperten von Microsoft gaben an, dass sie zwar keine Hinweise auf eine "böswillige Verwendung" der Daten gesehen haben, die betroffenen Benutzer jedoch darüber informieren.

Die Tatsache, dass die Datenbank nur wenige personenbezogene Daten enthielt, ist eine gute Nachricht, aber das Leck sollte nicht unterschätzt werden. Zusätzlich zu den meist verschleierten persönlichen Informationen enthielten die Elasticsearch-Server die IP-Adressen und Standortinformationen der Benutzer sowie Daten zum Status und zur Art der Supportfälle, die sie bei Microsoft geöffnet haben. Die E-Mail-Adressen der Microsoft-Supportmitarbeiter wurden ebenfalls im Klartext gespeichert. Alles in allem gab es genug Informationen für einen motivierten Hacker, um einen gezielten Angriff zu starten, der ziemlich katastrophale Folgen hätte haben können.

Wie wurden die Daten offengelegt und wie hat Microsoft mit dem Problem umgegangen?

Bob Diachenko war beeindruckt von Microsofts Security Response Team und der schnellen Reaktion angesichts der Tatsache, dass die Benachrichtigung Stunden vor Silvester gesendet wurde. Der Anbieter des Betriebssystems verdient auch ein Pat auf der Rückseite für die Transparenz, mit der er die Ereignisse beschrieb, die zu dem Vorfall geführt haben.

Am 5. Dezember nahm das Back-End-Team von Microsoft einige Änderungen an der Netzwerksicherheitsgruppe vor, in der sich die Datenbank befand, und bemerkte nicht, dass das Update einen Konfigurationsfehler aufwies. In dem gestrigen Bericht wiesen Ann Johnson, Corporate Vice President der Cybersecurity Solutions Group von Microsoft, und Eric Doerr, General Manager des Security Response Center von Microsoft, darauf hin, dass Mechanismen vorhanden sind, die normalerweise Datenlecks verhindern, die durch solche Fehlkonfigurationen verursacht werden. Für diese spezielle Datenbank wurden sie jedoch nicht aktiviert.

Alles in allem wurde das Leck durch eine unglückliche Kette von Ereignissen verursacht und verursachte letztendlich keinen größeren Schaden, was bedeutet, dass wir alle aufatmen können. Wir dürfen die Gefahr jedoch nicht unterschätzen.

Microsoft gab an, dass eine Reihe von Vorsichtsmaßnahmen getroffen wurden, um sicherzustellen, dass dies nicht erneut geschieht, und wir gehen davon aus, dass andere Unternehmen, die die personenbezogenen Daten der Benutzer verarbeiten, entsprechend vorgehen sollten. Tatsache ist, dass Informationslecks, die durch falsch konfigurierte Elasticsearch-Datenbanken verursacht werden, alltäglich werden und die Leute nicht darauf zu achten scheinen. Dies ist besorgniserregend, da Microsoft zwar die persönlichen Daten der Benutzer anonymisiert (zumindest, wenn sie in das Support-System eingegeben werden), andere dies jedoch nicht tun.