Microsoft-Code und -Passwörter standen frei im Netz
Die Bing-Abteilung stellte Passwörter und Quellcode bei Azure online. Zur freien Entnahme. Selbst nach einem Hinweis.
(Bild: ra2 studio/Shutterstock.com)
Frei im Netz stand ein Microsoft-Server, der Softwarecode, Logins, Passwörter, Schlüssel, Scripte und Konfigurationsdateien bereithielt – für jedermann, der den Server fand. Denn Passwortschutz gab es keinen. Sicherheitsexperten von SOCRadar fanden den Schatz und informierten Microsoft am sechsten Februar. Es dauert geschlagene vier Wochen, bis Microsoft den Server schützte.
Das berichtet Techcrunch unter Berufung auf die SOCRadar-Mitarbeiter Can Yoleri, Murat Özfidan und Egemen Koçhisarlı. Wie lange der Azure-Server mit dem Datenschatz insgesamt offen war, ist nicht bekannt. Die frei verfügbaren Daten stammten demnach aus der Microsoft-Abteilung, die für die Suchmaschine Bing zuständig ist.
Leider könnten die Informationen Dritten verraten, wo Microsoft sonst noch Daten speichert. Solche Erkenntnisse könnte wiederum zu "schwerwiegenderen Datenleaks führen und womöglich aktiv genutzte Dienste kompromittieren", wie Yoleri erläutert.
Unheimliche Serie
Die Idee, sich mit erbeuteten Informationen Zugang zu weiteren Daten zu verschaffen, ist alt. Ein klassisches Beispiel hat Microsoft selbst erfahren und zumindest teilweise offengelegt: Seit November ist Microsoft laufenden, erfolgreichen Angriffen russischer Täter ausgesetzt. Sie haben zunächst E-Mails aus Microsofts Abteilung für IT-Sicherheit erbeutet. Anschließend haben sich die Angreifer Zugriff auf Repositorys mit Quellcode verschafft. Das ist besonders gefährlich, weil das böswillige Veränderungen am Quellcode ermöglicht, beispielsweise den Einbau von Hintertüren.
Im September wurde bekannt, dass Microsofts KI-Team irrtümlich 38 Terabyte an privaten Daten öffentlich geteilt hat. Wie das IT-Sicherheitsunternehmen Wiz in einem Blog-Beitrag erläuterte, waren darin private Schlüssel, Passwörter und mehr als 30.000 Teams-Nachrichten von 359 Microsoft-Mitarbeitern enthalten. Auf die Daten stießen die IT-Forscher in einem Github-Repository Microsofts.
Viel schwerwiegender ist ein im Sommer ruchbar gewordenes Debakel. Ein Hauptschlüssel zu Microsofts Cloud-Königreich gelangte in falsche Hände, nämlich jener chinesischer Spione. Sie spionierten daraufhin europäische Regierungen auf, die bei Microsoft eingekauft und sich auf die Sicherheitsversprechen verlassen haben. Der Microsoft-Schlüssel war in einem Crash Dump enthalten und schloss nicht nur bei Microsofts Exchange Online, sondern fast überall in Microsofts Cloud.
(ds)