Grade microsoft passiert sowas, das ist sehr heftig. War das nun ein menschlicher oder doch ein softwarefehler ?

Kommt mir es nur so vor oder werden diese art von fehler bzw. das auftauchen von sensiblen daten, werden immer mehr .....

@defcon42 Mehreres: Wäre nur das Bucket falsch konfiguriert, aber die Daten verschlüsselt, wäre das eine kleinere Nummer (sensible Daten speichert man nicht unverschlüsselt "auf fremder Leute Computer").

Ad 2: Aller Eier in einem Korb war noch nie eine gute Idee. Cloud ist da nur ein Aspekt. Für MS sind fast alle Unternehmen mittlerweile ziemlich durchsichtig. Dank MS Authenticator ist dort sogar klar, welcher MA wann von wo womit etc.

@defcon42

Was treibt dieser ominöse "MS Authenticator" eigentlich so alles im Verborgenen?

Ein OTP läuft auch super mit freien Apps wie etwa FreeOTP+ (siehe F-Droid).

@nick Nicht dieser hier. MSA benötigt FCM. Ablauf:

- Peter meldet sich an der Anwendung an (user+pass)
- Anwendung fragt bei MS Server an
- MS Server schickt FCM
- MSA empfängt FCM und fragt Peter um Bestätigung
- "angereicherte"¹ Bestätigung geht zurück zu MS Server
- MS Server schickt "ACK" zu Firmenserver
- Firmenserver lässt Peter rein

@defcon42

¹ angereichert um "Analytics Daten". Schau nach, worauf die App Zugriff hat und "denk Dir was dabei"…

@defcon42
Ich würde durchaus grundsätzlich das Thema "public cloud" kritisieren. Dazu noch proprietär und im Zugriff der USA angesiedelt. Die Vollkatastrophe.

* Kontrollverlust über die eigenen Daten und Abläufe
* Völlige Abhängigkeit zu externen Unternehmen
* Völlig unnötige Sicherheitsrisiken durch unnötige Angriffsflächen

... ganz zu schweigen von Themen wie DSGVO usw.

@defcon42

Ich habe vor längerer Zeit mal via Aurora Store einen Blick auf dieses 70(?)MB-Monster geworfen... und habe augenblicklich beschlossen, daß dieser Murks nicht installiert wird.

Bisher wüßte ich auch nicht, wozu speziell der "MS Authenticator" benötigt würde...

... kann aber natürlich sein, daß man die "Gegenstellen" entsprechend konfigurieren kann, daß der MS-Spion erforderlich wird...

MS "Partner"... vor laaanger Zeit mal... unterste Stufe... Marketinggeschwafel... das aber nur nebenbei... 😏

Du meinst, ich habe bisher noch Glück, daß ich ohne MS-Spion-ah-Authenticator auskomme, obwohl ich zwecks Brötchenerwerb leider mit Leuten zu tun habe, die sich aktuell auf dem Wolkentrip befinden?

@pink
"Push": Das klingt proprietär und fühlt sich für mich eh etwas gruselig an...

Solange aber ein "#TOTP: Time-Based One-Time Password Algorithm" gemäß #RFC6238 zum Einsatz kommt, sollte man das Verfahren mit jedem passenden Tool bestreiten können. Wozu gibt es offene Standards? 😉

datatracker.ietf.org/doc/html/…

@nick @pink Es gibt "offene Standards" – und es gibt "Quasi Standards". MS nutzt letzteres.

F: Wie viele MS-Mitarbeiter braucht man, um eine Glühbirne zu wechseln?
A: Gar keinen. Wenn im MS HQ das Licht ausgeht, wird die Dunkelheit zum Standard erklärt.

🤷‍♂️