Microsoft leakt 250 Millionen Einträge aus Kundendatenbank

Aufgrund von Fehlkonfigurationen hätte im Grunde jedermann auf vertrauliche Support-Daten von Microsoft-Kunden zugreifen können.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 101 Beiträge

(Bild: ra2 studio/Shutterstock.com)

Update
Von

Einige Server von Microsoft waren unsicher konfiguriert, sodass Support-Daten wie Chat-Mitschnitte öffentlich abrufbar waren. Die 250 Millionen Einträge waren ungeschützt und öffentlich erreichbar. Der Zugriff wäre direkt über einen Webbrowser möglich gewesen. Mittlerweile sind die Daten nicht mehr erreichbar.

Sicherheitsforscher von Comparitech sind auf fünf unsicher konfigurierte Elasticsearch-Server gestoßen, von denen jeder die Kundendaten bereitstellte. Microsoft zufolge waren die Daten im Zeitraum 5. bis 31. Dezember 2019 öffentlich abrufbar. Nach einer Benachrichtigung soll Microsoft innerhalb von 24 Stunden reagiert haben und sich um das Datenleck gekümmert haben, schreiben die Sicherheitsforscher in einem Beitrag. Die Kundendaten sollen bis ins Jahr 2005 zurückgehen.

In den geleakten Einträgen finden sich beispielsweise E-Mail-Adressen, Infos zu Support-Fällen und Standorte. Viele der Einträge sollen unverschlüsselt vorgelegen haben. Diese Informationen könnten Betrüger zum Beispiel für das Verfassen von möglichst glaubhaften Spam-Mails missbrauchen.

Denkbar wäre im Fall von Microsoft auch, dass Telefonbetrüger die Daten nutzen könnten. Der Fake-Support am Telefon von angeblichen Windows-Support-Mitarbeitern ist seit Jahren eine immer wiederkehrende Masche. Bislang ist unbekannt, ob Unbefugte auf die Daten zugreifen konnten.

Man sollte beachten, dass sich Microsoft bei technischen Problemen nicht von sich aus an Kunden wendet. Bei Problemen muss immer der Kunden den ersten Schritt machen. Bekommt man also eine vermeintliche Support-Mail oder einen Anruf, handelt es sich dabei sicher um eine Betrügerei. Auf keinen Fall sollte man sich dazu verleiten lassen, eine Fernzugriff-Software auf dem eigenen Computer zu installieren. Damit öffnet man Angreifern Tür und Tor. Außerdem fragt Microsoft nie nach Passwörtern.

(UPDATE, 24.01.2020 09:15 Uhr)

Zeitraum, in dem die Daten öffentich erreichbar waren, im Fließtext angepasst. (des)