Original-URL des Artikels: https://www.golem.de/news/datenleck-microsoft-datenbank-mit-250-millionen-support-faellen-im-netz-2001-146229.html    Veröffentlicht: 23.01.2020 10:37    Kurz-URL: https://glm.io/146229

Datenleck

Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz

Rund einen Monat konnte auf eine Datenbank des Microsoft-Supports über das Internet zugegriffen werden. Die Fälle reichen bis in das Jahr 2005 zurück.

In einem Blogpost informiert Microsoft über ein Datenleck im eigenen Haus. Eine Datenbank mit Daten des Kundensupports war zwischen 5. und 31. Dezember 2019 ungeschützt aus dem Internet erreichbar gewesen. Laut dem Entdecker Bob Diachenko von der Sicherheitsfirma Comparitech soll die Datenbank 250 Millionen Einträge enthalten. Die Kundendaten könnten beispielsweise für betrügerische Anrufe im Namen des Microsoft-Supports verwendet werden.

Diachenko entdeckte am 29. Dezember 2019 fünf Elasticsearch-Server, die allesamt die Datenbank des Customer Service and Support (CSS) von Microsoft enthielten. Noch am selben Tag meldete er die Datenbank an Microsoft, das sie innerhalb von 24 Stunden vom Netz nahm.

Ein Zugriff über das Internet soll über fehlerhaft gesetzte Sicherheitsregeln möglich gewesen sein. Laut Diachenko soll die Datenbank E-Mail-Adressen von Kunden, IP-Adressen, Orte und Informationen zu den jeweiligen Supportfällen enthalten. Auch die E-Mail-Adresse des Microsoft-Support-Mitarbeiters, Fallnummern, Lösungen und Bemerkungen sind in der Datenbank zu finden sowie interne Notizen, die als vertraulich markiert wurden. Die Einträge reichen zurück bis in das Jahr 2005.

Microsoft will viele Daten unkenntlich gemacht haben

Microsoft betont in seinem Blogeintrag jedoch, dass ein Großteil der persönlichen Informationen automatisiert unkenntlich gemacht worden sei. Das Verfahren funktioniere aber teilweise nicht, beispielsweise wenn eine E-Mail-Adresse ein Leerzeichen enthalte und daher nicht standardkonform eingetragen sei, erklärt Microsoft.

Diachenko betont, dass man nicht wisse, ob auch andere in dem Zeitraum auf die Daten zugegriffen hätten, Microsoft sieht dafür keine Anzeichen. Das Unternehmen habe bereits begonnen, die betroffenen Kunden zu informieren, schreibt Microsoft.

Auch auf die Parkhaussteuerung des Microsoft-Hauptsitzes in Redmond konnte bis vor kurzem zugegriffen werden, wie Golem.de in der vergangenen Woche aufdeckte. Die nur für das interne Netz ausgelegte Parkhaussteuerung konnte unverschlüsselt über das Internet aufgerufen werden. Nach mehreren Hinweisen durch Golem.de nahm Microsoft die Steuerung vom Netz, stellte sie jedoch vorübergehend wieder online.

 (mtr)


Verwandte Artikel:
Boeing 747, Nasa: Sonst noch was?   
(17.07.2020, https://glm.io/149722 )
Zero Day: Microsoft schließt bekannte Sicherheitslücke nach 2 Jahren   
(18.08.2020, https://glm.io/150327 )
Windows XP Leak: XP hatte eine geheime MacOS-ähnliche Oberfläche   
(26.09.2020, https://glm.io/151129 )
Datenleck: Airbnb gibt Gastgebern Zugriff auf fremde Postfächer   
(25.09.2020, https://glm.io/151125 )
Microsoft: Quellcode von Windows XP angeblich geleakt   
(25.09.2020, https://glm.io/151112 )

© 1997–2021 Golem.de, https://www.golem.de/