Enthüllung einer schwerwiegenden Sicherheitslücke bei Microsoft: Interne Passwörter und Anmeldedaten waren lange Zeit öffentlich zugänglich.
Die jüngste Enthüllung einer Sicherheitslücke bei Microsoft wirft erneut Fragen über die Integrität des Datenschutzes und der Sicherheit des Technologiegiganten auf. Sicherheitsforscher haben eine eklatante Schwachstelle entdeckt. Durch diese Lücke waren sensible interne Informationen des Unternehmens öffentlich zugänglich.
Datenleck bei Microsoft: Daten für jeden zugänglich
Microsoft ist erneut in die Schlagzeilen geraten. Diesmal wegen einer schwerwiegenden Sicherheitslücke, durch die interne Passwörter und Anmeldedaten öffentlich zugänglich wurden.
Die Entdeckung wurde von den Sicherheitsforschern Can Yoleri, Murat Özfidan und Egemen Koçhisarlı von SOCRadar gemacht. Bei ihren Untersuchungen stießen sie auf einen ungeschützten Server in Microsofts Cloud-Dienst Azure, der sensible Informationen preisgab.
Der auf den ersten Blick unscheinbare Speicherserver enthielt eine Vielzahl von Codes, Skripten und Konfigurationsdateien mit sensiblen Anmeldedaten. Diese wurden von Microsoft-Mitarbeitern genutzt, um auf interne Datenbanken und Systeme zuzugreifen.
Erschreckend war jedoch die mangelnde Sicherheit dieses Servers, der für jeden mit einem Internetanschluss frei zugänglich war. Diese beunruhigende Lücke könnte böswilligen Akteuren Tür und Tor öffnen, um an weitere sensible Daten zu gelangen. Dies berichtet Tech Crunch in einem aktuellen Artikel.
Microsoft reagiert, aber es bleiben Fragen offen
Die Sicherheitsforscher informierten Microsoft sofort über ihre Entdeckung. Aber es dauerte anscheinend einen Monat, bis die Lücke geschlossen wurde. Bislang ist unklar, wie lange der Cloud-Server exponiert war und ob neben SOCRadar noch andere Parteien Zugriff auf die Daten hatten. Microsoft selbst hat keine Angaben darüber gemacht, ob die geleakten Anmeldedaten zurückgesetzt oder geändert wurden.
Es ist nicht das erste Mal, dass Microsoft wegen Sicherheitslücken in die Schlagzeilen gerät. Bereits in der Vergangenheit gab es ähnliche Vorfälle, bei denen sensible Informationen ungeschützt im Netz landeten. Besonders alarmierend war ein Ereignis, bei dem sich Hacker mit chinesischer Unterstützung Zugang zu hochrangigen US-Regierungsbeamten verschafften, indem sie interne E-Mail-Signaturschlüssel von Microsoft stahlen.
Günter Born schreibt dazu in seinem Blog:
Der oben skizzierte Vorfall ist da nur das Tüpfelchen auf dem i, das bestätigt, dass Microsoft ein „schlamperter Laden ist“, um den man besser einen großen Bogen machen sollte. Gut, war jetzt unfaire Dialektik – aber es ist höchst offiziell: Das US Cyber Safety Review Board wurde auf Grund des Storm-0558 Hacks aufgescheucht und hat eine Untersuchung des Sicherheitsvorfalls durchgeführt.
Der vor wenigen Tagen veröffentlichte Bericht offenbart, dass Microsoft die Sicherheit nicht im Griff hat und eine Kette von Fehlern den Storm-0558 Cloud-Hack erst ermöglichten (siehe Rüffel für Microsoft: Kaskade an Fehlern für Storm-0558 Cloud-Hack verantwortlich).
Günter Born
Ein Schritt vor oder zwei zurück?
Trotz der Bemühungen von Microsoft, das Vertrauen seiner Kunden zurückzugewinnen, scheint die Firma immer wieder von neuen Sicherheitslücken heimgesucht zu werden. Das aktuelle Datenleck bei Microsoft wirft ernsthafte Fragen über die Sicherheitsinfrastruktur des Unternehmens auf und zeigt die Notwendigkeit, seine Sicherheitsmaßnahmen gründlich zu überdenken.
Microsoft sollte sich endlich bewusst werden, dass es ständig im Visier von Hackern steht und entsprechende Maßnahmen ergreifen, um seine sensiblen Daten zu schützen.
