Skip to main content


"Das ist alles in der Klaut, u-hu-hu-huu…"

Microsoft: Kundendaten von 65.000 Unternehmen frei einsehbar

Eine Sicherheitslücke eines von Microsoft fehlerhaft konfigurierten Azure-Servers ermöglichte es einer Sicherheitsfirma auf 2,4 Terabyte sensibler Kundendaten, darunter mehr als 300.000 E-Mails und zahlreiche geschäftliche B2B-Transaktionsdaten…

Luja sog i! Wer bitte packt so etwas im Klartext in die… achso, nur Banken und so. Basst scho. 🤦‍♂️

https://www.computerbase.de/2022-10/microsoft-datenschutz-kundendaten-65000-unternehmen/

#sicherheit #datenschutz
in reply to IzzyOnDroid ✅

bei der Menge an Leaks jedes Jahr frag ich mich wieso wir nicht sowieso einfach alles öffentlich machen. Sicherheit ist ja ohnehin nur noch zweitrangig wie es scheint. 😂
in reply to SkyfaR

@SkyfaR Das würde Dinge wie FragDenStaat ja dann überflüssig machen 😱 Obwohl: muss ja trotzdem noch gesichtet werden, all das Material… 🙊 💨
in reply to IzzyOnDroid ✅

Grade microsoft passiert sowas, das ist sehr heftig. War das nun ein menschlicher oder doch ein softwarefehler ?

Kommt mir es nur so vor oder werden diese art von fehler bzw. das auftauchen von sensiblen daten, werden immer mehr .....
in reply to Gerriet Selent 😁🐧🍓 #FuckAfD

@gse Wie der Artikel beschreibt: ein Konfigurationsfehler. Die Systeme werden immer komplexer, die Wahrscheinlichkeit für derartige Fehler bzw. "großflächige Auswirkungen" derselben entsprechend größer. Der Unterschied zu on-premise ist halt, dass jetzt nicht mehr nur ein einzelnes Unternehmen betroffen ist – sondern potentiell ALLE. Weil ja alle… oh, 365… 🤷‍♂️ Und daher schlägt das dann auch größere Wellen.
in reply to IzzyOnDroid ✅

@gse Bezweiflel daß die Welle groß genug schlägt. Schnell Digitalisierung überall "voran zu bringen" erscheint wichtiger zu sein als auf Datenklimaaktivisten zu hören.
in reply to :xmpp: MobileAmphiHome

@stubenhocker "Datenklimaaktivisten" werden dann auch gern als "Datenschutzterroristen" abgestempelt – die Schuld sind, wenn es nicht schnell genug voran geht – weil sie mit ihren Bedenken ja ständig auf die Bremse treten…
in reply to IzzyOnDroid ✅

Genau. Und dann machen irgendwelche Rechtsabteilungen die IT, anstatt Leute welche die IT verstehen..
in reply to :xmpp: MobileAmphiHome

@stubenhocker DAS ist des Übels Wurzel. (Dazu kommt dann oft: Wenn Dein Einkommen darauf basiert, etwas nicht zu verstehen – hilft auch kein Erklären 🙊)
Unknown parent

IzzyOnDroid ✅
@defcon42 Mehreres: Wäre nur das Bucket falsch konfiguriert, aber die Daten verschlüsselt, wäre das eine kleinere Nummer (sensible Daten speichert man nicht unverschlüsselt "auf fremder Leute Computer").

Ad 2: Aller Eier in einem Korb war noch nie eine gute Idee. Cloud ist da nur ein Aspekt. Für MS sind fast alle Unternehmen mittlerweile ziemlich durchsichtig. Dank MS Authenticator ist dort sogar klar, welcher MA wann von wo womit etc.
in reply to IzzyOnDroid ✅

@defcon42

Was treibt dieser ominöse "MS Authenticator" eigentlich so alles im Verborgenen?

Ein OTP läuft auch super mit freien Apps wie etwa FreeOTP+ (siehe F-Droid).
in reply to Nordnick :verified:

@nick Nicht dieser hier. MSA benötigt FCM. Ablauf:

- Peter meldet sich an der Anwendung an (user+pass)
- Anwendung fragt bei MS Server an
- MS Server schickt FCM
- MSA empfängt FCM und fragt Peter um Bestätigung
- "angereicherte"¹ Bestätigung geht zurück zu MS Server
- MS Server schickt "ACK" zu Firmenserver
- Firmenserver lässt Peter rein

@defcon42

¹ angereichert um "Analytics Daten". Schau nach, worauf die App Zugriff hat und "denk Dir was dabei"…
Unknown parent

Nordnick :verified:
@defcon42
Ich würde durchaus grundsätzlich das Thema "public cloud" kritisieren. Dazu noch proprietär und im Zugriff der USA angesiedelt. Die Vollkatastrophe.

* Kontrollverlust über die eigenen Daten und Abläufe
* Völlige Abhängigkeit zu externen Unternehmen
* Völlig unnötige Sicherheitsrisiken durch unnötige Angriffsflächen

... ganz zu schweigen von Themen wie DSGVO usw.
in reply to IzzyOnDroid ✅

@defcon42

Ich habe vor längerer Zeit mal via Aurora Store einen Blick auf dieses 70(?)MB-Monster geworfen... und habe augenblicklich beschlossen, daß dieser Murks nicht installiert wird.

Bisher wüßte ich auch nicht, wozu speziell der "MS Authenticator" benötigt würde...

... kann aber natürlich sein, daß man die "Gegenstellen" entsprechend konfigurieren kann, daß der MS-Spion erforderlich wird...
in reply to Nordnick :verified:

@nick Das kann man. Und Unternehmen dazu zwingen, das zu nutzen, kann man ebenfalls. Bist Du "Microsoft Partner" und willst das bleiben, hast Du da kaum eine Wahl…
in reply to IzzyOnDroid ✅

MS "Partner"... vor laaanger Zeit mal... unterste Stufe... Marketinggeschwafel... das aber nur nebenbei... 😏

Du meinst, ich habe bisher noch Glück, daß ich ohne MS-Spion-ah-Authenticator auskomme, obwohl ich zwecks Brötchenerwerb leider mit Leuten zu tun habe, die sich aktuell auf dem Wolkentrip befinden?
in reply to Nordnick :verified:

@nick Da haben wir beide Glück. Obwohl bei einem meiner Kunden eigentlich auch MSA-Zwang herrscht, habe ich da einen Würg-Around gefunden: Da stand "Authenticator App" (das "MS" las wohl jeder "brav" dazu). Da in der Firma auch Yubikeys eingesetzt werden, habe ich es einfach mit der "Yubico Authenticator" App versucht. Zu unser aller Überraschung (mehrere Kollegen betroffen) hat es funktioniert 😀
in reply to IzzyOnDroid ✅

Genau... MS spricht da (meiner Erfahrung nach) von irgendeiner "Authenticator App"... solange die aber ein Standard-OTP-Verfahren nutzen, läuft es ohne MS... in meinem Fall FreeOTP+ aus dem F-Droid-Respository.
in reply to Nordnick :verified:

@nick DAS würde dort nicht funktionieren. Aber Fido2 wird akzeptiert. "Standard OTP" kommt an anderer Stelle zum Einsatz (und andOTP bei mir).
in reply to Nordnick :verified:

@nick Für die Push-Authentifizierung (Nachricht auf dem Händi und nur noch "Ok" drücken) benötigt man den MSA, da das Verfahren (vermutlich) nicht offen ist. Und mit so etwas sind schon einige "Hacks" erfolgt: einfach die Leute zuspammen mit Push-Nachrichten, irgendwann tippt man doch halt auf "Ok".
in reply to pink

@pink
"Push": Das klingt proprietär und fühlt sich für mich eh etwas gruselig an...

Solange aber ein "#TOTP: Time-Based One-Time Password Algorithm" gemäß #RFC6238 zum Einsatz kommt, sollte man das Verfahren mit jedem passenden Tool bestreiten können. Wozu gibt es offene Standards? 😉

https://datatracker.ietf.org/doc/html/rfc6238
in reply to Nordnick :verified:

@nick @pink Es gibt "offene Standards" – und es gibt "Quasi Standards". MS nutzt letzteres.

F: Wie viele MS-Mitarbeiter braucht man, um eine Glühbirne zu wechseln?
A: Gar keinen. Wenn im MS HQ das Licht ausgeht, wird die Dunkelheit zum Standard erklärt.

🤷‍♂️