Support

Gravierendes Datenleck bei Microsoft

Gravierendes Datenleck bei Microsoft

Geöffnetes Schloss

Gravierendes Datenleck bei Microsoft – über 250 Millionen Kundendaten frei im Netz zugänglich

Durch eine unsichere Konfiguration war die Datenbank des Microsoft-Kundensupports Ende 2019 für mehrere Wochen frei im Netz zugänglich. Betroffen waren über 250 Millionen Kundendaten. Die Lücke war einem Security-Experten im Dezember vergangenen Jahres aufgefallen. Microsoft gab an, das Problem weitgehend gelöst zu haben.

Was ist passiert?

Die Datenbank des Customer Service and Support (CSS) von Microsoft war aufgrund einer Fehlkonfiguration zwischen dem 5. und dem 31. Dezember 2019 öffentlich abrufbar. Die Daten konnten von jedem beliebigen PC unverschlüsselt über einen Webbrowser ausgelesen werden. Betroffen waren über 250 Millionen Support-Fälle mit den zugehörigen Kundendaten. Die Daten umfassten:

  • IP-Adressen
  • Namen
  • E-Mail-Adressen
  • Orte
  • Chat-Mitschnitte
  • Für Tickets zuständige Microsoft-Mitarbeiter
  • Fallnummern

Die Kundendaten sollen bis ins Jahr 2005 zurückreichen. Als Ursache für das Datenleck gelten unsicher konfigurierte Server. So sollen unter anderem falsch gesetzte Berechtigungen für den Vorfall verantwortlich sein.

Wie wurde der Fehler entdeckt? 

Auf den Fehler aufmerksam machte Sicherheitsforscher Bob Diachenko von Comparitech. Am 29. Dezember 2019 entdeckte er fünf unsicher konfigurierte Elasticsearch-Server. Auf jedem davon befand sich die Datenbank des Customer Service and Support (CSS) von Microsoft.

Laut Diachenkos Aussage auf dem Comparitech-Blog waren die Daten zwischen dem 5. und dem 31. Dezember öffentlich abrufbar. Wie der IT-Sicherheitsforscher in seinem Blogbeitrag schreibt, soll Microsoft innerhalb von 24 Stunden reagiert und die Daten auf den Servern gesichert haben.

Was hat Microsoft unternommen?

Microsoft gab auf seinem Unternehmensblog an, dass der größte Teil der persönlichen Informationen unkenntlich sei, sodass auch bei sicherheitsrelevanten Vorfällen keine unmittelbare Gefahr für Kunden bestehe. Es gebe aber Fälle, in denen das Verfahren nicht funktioniere, etwa dann, wenn sich in einer E-Mail-Adresse Leerzeichen befänden und kein standardkonformer Eintrag möglich sei.

Microsoft gibt an, den Fehler behoben zu haben. Die Datenbank sei nicht mehr zugänglich. Kunden, deren Daten betroffen waren, seien bereits informiert worden.

Welche Gefahren gehen von dem Datenleck aus?

Bislang ist unklar, ob Kriminelle Zugang auf die Daten erlangt haben. Bei Microsoft habe man bisher keine Anzeichen dafür finden können.

Die Nutzungsmöglichkeiten geleakter Daten sind vielfältig. Betrüger könnten sie beispielsweise nutzen, um besonders glaubhafte Spam-Mails zu verfassen. Ein weiteres bekanntes Einsatzgebiet ist der Fake-Support. Telefonbetrüger geben sich dabei als Service-Mitarbeiter aus und versuchen auf diese Weise, Zugang zu Nutzer-PCs und ihren sensiblen Daten zu erhalten. Das Vorgehen ist seit Längerem bekannt. Nähere Informationen zum Thema finden Sie zum Beispiel in diesem Heise-Artikel.

Hinweis: Microsoft wendet sich bei technischen Problemen nie selbst an den Nutzer. Erhält man einen vermeintlichen Support-Anruf oder eine Support-E-Mail, kann man von einem Betrug ausgehen.

Bild: © weerapat1003/Adobe Stock

Category:  News