'Hack trof vier jaar geleden interne Microsoft-database voor bijhouden bugs'

Een interne database van Microsoft voor het in de gaten houden van bugs in onder andere zijn eigen software, is in 2013 gehackt door een groep die zich via een kwetsbaarheid toegang verschafte tot computers van medewerkers.

Ruim een week nadat de verhalen over de inbreuk in 2013 naar buiten kwamen, publiceerde Microsoft een korte verklaring waarin de hack werd omschreven als beperkt, waarbij er geen melding werd gemaakt van de bugdatabase. Vijf voormalige Microsoft-medewerkers hebben nu aan Reuters onthuld dat ook informatie uit deze database in handen kwam van de hackers. Overigens waren in 2013 ook de computers van Apple, Facebook en Twitter gehackt door dezelfde groep, die door beveiligingsonderzoekers ook wel Morpho, Butterfly en Wild Neutron wordt genoemd.

In de database stonden beschrijvingen van kritieke en onopgeloste bugs in veelgebruikte software, zoals het besturingssysteem Windows. Bepaalde bugs zijn later gebruikt om andere organisaties en bedrijven te hacken. Volgens Microsoft is er geen bewijs dat de gestolen informatie is gebruikt voor deze hacks. Drie van de vijf ex-medewekers hebben echter gezegd dat niet kan worden uitgesloten dat de bugs zijn gebruikt bij nieuwe aanvallen. Microsoft heeft de kwetsbaarheden waarschijnlijk enkele maanden na de hack verholpen; dat betekent dat de hackers via de bugs in ieder geval tijdelijk de mogelijkheid hadden in te breken op andere computers.

Volgens de vijf voormalige medewerkers van Microsoft was de bewuste bugdatabase slecht beveiligd; er zou alleen een wachtwoord nodig zijn geweest om toegang te krijgen. Ze stellen dat Microsoft in een intern onderzoek meldde dat de buitgemaakte bugs werden gebruikt voor andere hacks. Maar omdat deze cruciale buginformatie volgens Microsoft ook elders had kunnen worden bemachtigd, besloot het bedrijf erover te zwijgen en de hack van de bugdatabase niet te onthullen. Microsoft hield het ook onder de pet omdat er later in veel gevallen al patches waren uitgebracht voor de bugs.

De aanvalsmethode waarmee de kwaadwillenden het bedrijfsnetwerk van Microsoft wisten binnen te dringen, trof onder andere de Mac-bedrijfstak van het bedrijf. In 2013 werd al eerder bekend dat de aanval via het iPhoneDevSDK-forum verliep en zich vooral op OS X-systemen richtte. Op het populaire forum was via een gehackte beheerdersaccount kwaadaardige JavaScript gezet, die bezoekers naar min.liveanalytics doorsluisde. Op die site stond al sinds 15 januari 2013 een Java-zeroday-exploit.

Door Joris Jansen

Redacteur

Feedback • 17-10-2017 15:12 15

17-10-2017 • 15:12

15

Lees meer

'Aanvallers achter CCleaner-hack richtten zich op grote techbedrijven'
'Aanvallers achter CCleaner-hack richtten zich op grote techbedrijven' Nieuws van 21 september 2017
Microsoft krijgt domeinnamen staatshackers via rechtszaak in handen
Microsoft krijgt domeinnamen staatshackers via rechtszaak in handen Nieuws van 21 juli 2017
Deel broncode Windows 10 stond tijdelijk online
Deel broncode Windows 10 stond tijdelijk online Nieuws van 24 juni 2017
Microsoft maakt inloggen zonder wachtwoord mogelijk via Authenticator-app
Microsoft maakt inloggen zonder wachtwoord mogelijk via Authenticator-app Nieuws van 19 april 2017
Microsoft pleit voor digitale variant Conventie van Genève
Microsoft pleit voor digitale variant Conventie van Genève Nieuws van 14 februari 2017
Microsoft: vermoedelijke Russische staatshackers misbruiken zero-daylek Windows
Microsoft: vermoedelijke Russische staatshackers misbruiken zero-daylek Windows Nieuws van 2 november 2016
'Hackers gebruikten Stuxnet-certificaat om onderzoekers te misleiden'
'Hackers gebruikten Stuxnet-certificaat om onderzoekers te misleiden' Nieuws van 13 oktober 2016
Microsoft liet na Hotmail-gebruikers te informeren over hacks
Microsoft liet na Hotmail-gebruikers te informeren over hacks Nieuws van 31 december 2015
Microsoft: we zijn net als Facebook en Apple aangevallen
Microsoft: we zijn net als Facebook en Apple aangevallen Nieuws van 23 februari 2013
Meer producten en artikelen
Netwerk en systeembeheer Microsoft Hack

Reacties (15)

-Moderatie-faq
15
15
12
1
0
3
Wijzig sortering
densoN 17 oktober 2017 15:52
Dat moet toch wel het gouden ei zijn geweest voor de hackers. Een lijst met kwetsbaarheden incl. beschrijving en status van alle Microsoft producten.

Wel een interessante casus wanneer je kijkt naar de nieuwe privacy wetgeving. De Nederlandse toezichthouder (Autoriteit Persoonsgegevens) zegt bijvoorbeeld dat je als verantwoordelijke (Microsoft in deze) de plicht hebt om betrokkene (alle software gebruikers) te informeren op het moment dat je niet redelijkerwijs kunt uitsluiten dat derden toegang hebben gehad tot jouw persoonsgegevens. Wanneer hackers toegang hebben tot een database met genoeg info om RCE zeroday exploits te ontwikkelen lijkt me die kans toch wel aanwezig.

Kan iemand met een juridische achtergrond hierop toelichten?

[Reactie gewijzigd door densoN op 22 juli 2024 23:04]

field33P @densoN17 oktober 2017 16:07
Nouja, formeel gezien is het lekken van het bestaan van een lek in de onderliggende software (van Microsoft in dit geval) geen datalek, aangezien er hierbij waarschijnlijk geen sprake is van verwerking van persoonsgegevens. (zie het schema op bladzijde 11)

Dus je zou het hooguit op opgelopen schade door nalatigheid kunnen gooien (slechte beveiliging van interne database), en er zal misschien ook nog wat over in staan in de Wet computercriminaliteit en de bepalingen rondom computervredebreuk. zie ook dit artikel van Arnoud Engelfriet

disclaimer: ik ben geen advocaat of jurist, ik heb alleen maar een periode het vak Recht gehad

[Reactie gewijzigd door field33P op 22 juli 2024 23:04]

PolarBear @densoN17 oktober 2017 15:56
Och, zoals je met Wannacry hebt kunnen zien zijn zelfs opgeloste kwetsbaarheden nog prima bruikbaar. Updaten wordt lang niet altijd gedaan.
densoN @PolarBear17 oktober 2017 15:59
Volkomen mee eens. Maar kwetsbaarheden waar geen security updates voor beschikbaar zijn (zerodays) hebben een veel grotere impact, ook omdat ze vaak onder de radar van AV blijven.
bartje @densoN17 oktober 2017 16:07
Als ze het goed gereld hebben staat er absoluut geen persoonlijke informatie in de buglijst. Hooguit andere draaiende processen en hoe vaak dit voor komt. Als dit wel gekoppeld is lijkt me dat een grotere domper dan de hack zelf.
Zer0 @densoN17 oktober 2017 16:38
Wel een interessante casus wanneer je kijkt naar de nieuwe privacy wetgeving.
Nope, er stonden afaik geen persoonsgegevens in de database, dus er is niks te melden bij het AP.
biomass 17 oktober 2017 15:47
"Maar omdat deze cruciale buginformatie volgens Microsoft ook elders had kunnen worden bemachtigd, besloot het bedrijf erover te zwijgen en de hack van de bugdatabase niet te onthullen. Microsoft hield het ook onder de pet omdat er later in veel gevallen al patches waren uitgebracht voor de bugs."
Dat het stilgehouden wordt om niet een immense extra druk opgelegd te krijgen *alles* asap op te lossen kan ik nog inkomen maar dat het 'elders bemachtigd kon worden' opgeven als reden?
Dat klinkt bijna net zo erg als een onnozele "De echte zero days staan er niet in????"
Krulliebol @biomass17 oktober 2017 15:53
Ik vermoed dat ze bedoelen: "Als hackers de informatie misbruiken, kunnen wij daar niet de schuld van krijgen, want de hackers kunnen die informatie ook uit andere bron gehaald hebben."
biglia 17 oktober 2017 16:42
Vijf voormalige Microsoft-medewerkers hebben nu aan Reuters onthuld dat ook informatie uit deze database in handen kwam van de hackers.
Het is dus niet alleen de bugdatabase dat vertrouwelijke informatie lekte.
Ghostier @biglia17 oktober 2017 17:20
Dit is geen vertrouwelijke informatie meer van het bedrijf in dit geval microsoft ook niet ten tijde dat het vermeld werd. Er is alleen aangegeven welk bedrijfs onderdeel gecomprimiteerd is. Geen specificaties. Het is zelfs informatie wat wettelijk niet vertrouwelijk gehouden mag worden na een redelijke looptermijn voor het oplossen van kwetsbaarheden.
Luno 17 oktober 2017 16:03
Ooit, jaren (40+) geleden, werkte ik met een min computer (Pr1me) en de bug lijst was openbaar.

Ik ben daar nog steeds voor. Het scheelt als developer een hoop tijd als je kunt zien dat het niet jouw programma is dat in de soep loopt, maar dat het OS/ applicatie een fout bevat (overigens dat vinden is soms ook zoeken naar een speld in een hooiberg).
Toen niet, maar nu wel met interpret, kun je als bugs bekend zijn je als persoon/bedrijf te een inschatting maken wat dit voor je betekent.

Maar de hogere goden (NSA/Poetin,Sleepwet) zullen wel anders oordelen.
Verwijderd @Luno17 oktober 2017 23:55
Komt nu nog steeds voor: Ieder opensource OS heeft een openbare buglijst. Meestal wordt er een bugtracker gebruikt zoals in git beschikbaar.
Het project waar ik actief ben (NethServer) gebruikt github als bugtracker
Toff @Luno18 oktober 2017 00:23
Ooit, jaren (40+) geleden, werkte ik met een min computer (Pr1me) en de bug lijst was openbaar.
Ik herinner me nog als de dag van gisteren, dat er rond 1977 geen (openbaar) internet bestond (pas sinds 1993), dus die situatie is niet echt vergelijkbaar. :)
Moderne bugs zijn gewoon veel te gevaarlijk, om ongeplet bekend te maken. Terwijl jij als goedwillende developer je applicatie aan het fine tunen bent, slopen duizenden kwaadwillenden wereldwijd miljoenen computers met die kennis.
multimho @Toff18 oktober 2017 08:32
"Terwijl jij als goedwillende developer je applicatie aan het fine tunen bent, slopen duizenden kwaadwillenden wereldwijd miljoenen computers met die kennis"

Dat gebeurd ook als je denkt dat jij en de melder de enige zijn die van de bug afweten ;)

In het openbare geval is er enorme druk (sociaal en economisch) om de bug te fixen. In het "geheime" geval niet. Daarom zijn er ook zo gigantisch veel bugs in proprietary software waar mensen met de juiste wil misbruik van maken.

Alhoewel ik ook wel ergens logica zie in het later bekend maken van bugs. Maar dat komt voornamelijk omdat maar zeer weinig organisaties in staat zijn snel (tien duizenden machines patchen in 10 minuten) updates uit te voeren. Dat heeft helemaal niets met techniek te maken, maar alles met mismanagement en gebrek aan focus op makkelijk te updaten en monitoren infrastructuur.

Dus die vertraging is dan vooral om ervoor te zorgen dat "genoeg" bedrijven op de hoogte gebracht kunnen worden dat ze de komende maand moeten gaan patchen en dus nu moeten in plannen.
Bux666 17 oktober 2017 17:15
Microsoft hield het ook onder de pet omdat er later in veel gevallen al patches waren uitgebracht voor de bugs.
Met die gedachten hoef je natuurlijk nooit melding te maken van een hack, er van uitgaande dat alle bugs vroeg of laat worden gepatcht. 8)7

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq