IzzyOnDroid ✅

2 years ago

IzzyOnDroid ✅
2 years ago

"Das ist alles in der Klaut, u-hu-hu-huu…"

Microsoft: Kundendaten von 65.000 Unternehmen frei einsehbar

Eine Sicherheitslücke eines von Microsoft fehlerhaft konfigurierten Azure-Servers ermöglichte es einer Sicherheitsfirma auf 2,4 Terabyte sensibler Kundendaten, darunter mehr als 300.000 E-Mails und zahlreiche geschäftliche B2B-Transaktionsdaten…

Luja sog i! Wer bitte packt so etwas im Klartext in die… achso, nur Banken und so. Basst scho. 🤦‍♂️

computerbase.de/2022-10/micros…

#sicherheit #datenschutz

Microsoft: Kundendaten von 65.000 Unternehmen frei einsehbar

Eine Sicherheitslücke ermöglichte es einer Sicherheitsfirma auf 2,4 Terabyte sensibler Kundendaten von 65.000 Unternehmen zuzugreifen.

^{Sven Bauduin (ComputerBase)}

in reply to IzzyOnDroid ✅

SkyfaR

in reply to IzzyOnDroid ✅ 2 years ago

bei der Menge an Leaks jedes Jahr frag ich mich wieso wir nicht sowieso einfach alles öffentlich machen. Sicherheit ist ja ohnehin nur noch zweitrangig wie es scheint. 😂

in reply to SkyfaR

IzzyOnDroid ✅

in reply to SkyfaR 2 years ago

@SkyfaR Das würde Dinge wie FragDenStaat ja dann überflüssig machen 😱 Obwohl: muss ja trotzdem noch gesichtet werden, all das Material… 🙊 💨

@SkyfaR

in reply to IzzyOnDroid ✅

6erriet mit ie 😁🐧🍓 #FuckAfD

in reply to IzzyOnDroid ✅ 2 years ago

Grade microsoft passiert sowas, das ist sehr heftig. War das nun ein menschlicher oder doch ein softwarefehler ?

Kommt mir es nur so vor oder werden diese art von fehler bzw. das auftauchen von sensiblen daten, werden immer mehr .....

in reply to 6erriet mit ie 😁🐧🍓 #FuckAfD

IzzyOnDroid ✅

in reply to 6erriet mit ie 😁🐧🍓 #FuckAfD 2 years ago

@gse Wie der Artikel beschreibt: ein Konfigurationsfehler. Die Systeme werden immer komplexer, die Wahrscheinlichkeit für derartige Fehler bzw. "großflächige Auswirkungen" derselben entsprechend größer. Der Unterschied zu on-premise ist halt, dass jetzt nicht mehr nur ein einzelnes Unternehmen betroffen ist – sondern potentiell ALLE. Weil ja alle… oh, 365… 🤷‍♂️ Und daher schlägt das dann auch größere Wellen.

@6erriet mit ie 😁🐧🍓 #FuckAfD

in reply to IzzyOnDroid ✅

Schlüssellochkind 👁️

in reply to IzzyOnDroid ✅ 2 years ago

@gse Bezweiflel daß die Welle groß genug schlägt. Schnell Digitalisierung überall "voran zu bringen" erscheint wichtiger zu sein als auf Datenklimaaktivisten zu hören.

@6erriet mit ie 😁🐧🍓 #FuckAfD

in reply to Schlüssellochkind 👁️

IzzyOnDroid ✅

in reply to Schlüssellochkind 👁️ 2 years ago

@stubenhocker "Datenklimaaktivisten" werden dann auch gern als "Datenschutzterroristen" abgestempelt – die Schuld sind, wenn es nicht schnell genug voran geht – weil sie mit ihren Bedenken ja ständig auf die Bremse treten…

@Schlüssellochkind 👁️

Unknown parent

IzzyOnDroid ✅

Unknown parent 2 years ago

@defcon42 Mehreres: Wäre nur das Bucket falsch konfiguriert, aber die Daten verschlüsselt, wäre das eine kleinere Nummer (sensible Daten speichert man nicht unverschlüsselt "auf fremder Leute Computer").

Ad 2: Aller Eier in einem Korb war noch nie eine gute Idee. Cloud ist da nur ein Aspekt. Für MS sind fast alle Unternehmen mittlerweile ziemlich durchsichtig. Dank MS Authenticator ist dort sogar klar, welcher MA wann von wo womit etc.

in reply to IzzyOnDroid ✅

Nordnick

in reply to IzzyOnDroid ✅ 2 years ago

@defcon42

Was treibt dieser ominöse "MS Authenticator" eigentlich so alles im Verborgenen?

Ein OTP läuft auch super mit freien Apps wie etwa FreeOTP+ (siehe F-Droid).

in reply to Nordnick

IzzyOnDroid ✅

in reply to Nordnick 2 years ago

@nick Nicht dieser hier. MSA benötigt FCM. Ablauf:

- Peter meldet sich an der Anwendung an (user+pass)
- Anwendung fragt bei MS Server an
- MS Server schickt FCM
- MSA empfängt FCM und fragt Peter um Bestätigung
- "angereicherte"¹ Bestätigung geht zurück zu MS Server
- MS Server schickt "ACK" zu Firmenserver
- Firmenserver lässt Peter rein

@defcon42

¹ angereichert um "Analytics Daten". Schau nach, worauf die App Zugriff hat und "denk Dir was dabei"…

@Nordnick

Unknown parent

Nordnick

Unknown parent 2 years ago

@defcon42
Ich würde durchaus grundsätzlich das Thema "public cloud" kritisieren. Dazu noch proprietär und im Zugriff der USA angesiedelt. Die Vollkatastrophe.

* Kontrollverlust über die eigenen Daten und Abläufe
* Völlige Abhängigkeit zu externen Unternehmen
* Völlig unnötige Sicherheitsrisiken durch unnötige Angriffsflächen

... ganz zu schweigen von Themen wie DSGVO usw.

in reply to IzzyOnDroid ✅

Nordnick

in reply to IzzyOnDroid ✅ 2 years ago

@defcon42

Ich habe vor längerer Zeit mal via Aurora Store einen Blick auf dieses 70(?)MB-Monster geworfen... und habe augenblicklich beschlossen, daß dieser Murks nicht installiert wird.

Bisher wüßte ich auch nicht, wozu speziell der "MS Authenticator" benötigt würde...

... kann aber natürlich sein, daß man die "Gegenstellen" entsprechend konfigurieren kann, daß der MS-Spion erforderlich wird...

in reply to Nordnick

IzzyOnDroid ✅

in reply to Nordnick 2 years ago

@nick Das kann man. Und Unternehmen dazu zwingen, das zu nutzen, kann man ebenfalls. Bist Du "Microsoft Partner" und willst das bleiben, hast Du da kaum eine Wahl…

@Nordnick

in reply to IzzyOnDroid ✅

Nordnick

in reply to IzzyOnDroid ✅ 2 years ago

MS "Partner"... vor laaanger Zeit mal... unterste Stufe... Marketinggeschwafel... das aber nur nebenbei... 😏

Du meinst, ich habe bisher noch Glück, daß ich ohne MS-Spion-ah-Authenticator auskomme, obwohl ich zwecks Brötchenerwerb leider mit Leuten zu tun habe, die sich aktuell auf dem Wolkentrip befinden?

in reply to Nordnick

IzzyOnDroid ✅

in reply to Nordnick 2 years ago

@nick Da haben wir beide Glück. Obwohl bei einem meiner Kunden eigentlich auch MSA-Zwang herrscht, habe ich da einen Würg-Around gefunden: Da stand "Authenticator App" (das "MS" las wohl jeder "brav" dazu). Da in der Firma auch Yubikeys eingesetzt werden, habe ich es einfach mit der "Yubico Authenticator" App versucht. Zu unser aller Überraschung (mehrere Kollegen betroffen) hat es funktioniert 😀

@Nordnick

in reply to IzzyOnDroid ✅

Nordnick

in reply to IzzyOnDroid ✅ 2 years ago

Genau... MS spricht da (meiner Erfahrung nach) von irgendeiner "Authenticator App"... solange die aber ein Standard-OTP-Verfahren nutzen, läuft es ohne MS... in meinem Fall FreeOTP+ aus dem F-Droid-Respository.

in reply to Nordnick

IzzyOnDroid ✅

in reply to Nordnick 2 years ago

@nick DAS würde dort nicht funktionieren. Aber Fido2 wird akzeptiert. "Standard OTP" kommt an anderer Stelle zum Einsatz (und andOTP bei mir).

@Nordnick

in reply to Nordnick

pink

in reply to Nordnick 2 years ago

@nick Für die Push-Authentifizierung (Nachricht auf dem Händi und nur noch "Ok" drücken) benötigt man den MSA, da das Verfahren (vermutlich) nicht offen ist. Und mit so etwas sind schon einige "Hacks" erfolgt: einfach die Leute zuspammen mit Push-Nachrichten, irgendwann tippt man doch halt auf "Ok".

@Nordnick

in reply to pink

Nordnick

in reply to pink 2 years ago

@pink
"Push": Das klingt proprietär und fühlt sich für mich eh etwas gruselig an...

Solange aber ein "#TOTP: Time-Based One-Time Password Algorithm" gemäß #RFC6238 zum Einsatz kommt, sollte man das Verfahren mit jedem passenden Tool bestreiten können. Wozu gibt es offene Standards? 😉

datatracker.ietf.org/doc/html/…

RFC 6238 - TOTP: Time-Based One-Time Password Algorithm

TOTP: Time-Based One-Time Password Algorithm (RFC 6238)

^{datatracker.ietf.org}

#RFC6238 #totp @pink

in reply to Nordnick

IzzyOnDroid ✅

in reply to Nordnick 2 years ago

@nick @pink Es gibt "offene Standards" – und es gibt "Quasi Standards". MS nutzt letzteres.

F: Wie viele MS-Mitarbeiter braucht man, um eine Glühbirne zu wechseln?
A: Gar keinen. Wenn im MS HQ das Licht ausgeht, wird die Dunkelheit zum Standard erklärt.

🤷‍♂️

@pink @Nordnick

in reply to IzzyOnDroid ✅

Nordnick

in reply to IzzyOnDroid ✅ 2 years ago

@pink
Leider attackiert MS sogar offene Standards...

@pink

Unknown parent

IzzyOnDroid ✅

Unknown parent 2 years ago

@stubenhocker DAS ist des Übels Wurzel. (Dazu kommt dann oft: Wenn Dein Einkommen darauf basiert, etwas nicht zu verstehen – hilft auch kein Erklären 🙊)

@Schlüssellochkind 👁️

⇧

IzzyOnDroid ✅ 2 years ago • •

IzzyOnDroid ✅
2 years ago