Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Hack trof vier jaar geleden interne Microsoft-database voor bijhouden bugs'

Een interne database van Microsoft voor het in de gaten houden van bugs in onder andere zijn eigen software, is in 2013 gehackt door een groep die zich via een kwetsbaarheid toegang verschafte tot computers van medewerkers.

Ruim een week nadat de verhalen over de inbreuk in 2013 naar buiten kwamen, publiceerde Microsoft een korte verklaring waarin de hack werd omschreven als beperkt, waarbij er geen melding werd gemaakt van de bugdatabase. Vijf voormalige Microsoft-medewerkers hebben nu aan Reuters onthuld dat ook informatie uit deze database in handen kwam van de hackers. Overigens waren in 2013 ook de computers van Apple, Facebook en Twitter gehackt door dezelfde groep, die door beveiligingsonderzoekers ook wel Morpho, Butterfly en Wild Neutron wordt genoemd.

In de database stonden beschrijvingen van kritieke en onopgeloste bugs in veelgebruikte software, zoals het besturingssysteem Windows. Bepaalde bugs zijn later gebruikt om andere organisaties en bedrijven te hacken. Volgens Microsoft is er geen bewijs dat de gestolen informatie is gebruikt voor deze hacks. Drie van de vijf ex-medewekers hebben echter gezegd dat niet kan worden uitgesloten dat de bugs zijn gebruikt bij nieuwe aanvallen. Microsoft heeft de kwetsbaarheden waarschijnlijk enkele maanden na de hack verholpen; dat betekent dat de hackers via de bugs in ieder geval tijdelijk de mogelijkheid hadden in te breken op andere computers.

Volgens de vijf voormalige medewerkers van Microsoft was de bewuste bugdatabase slecht beveiligd; er zou alleen een wachtwoord nodig zijn geweest om toegang te krijgen. Ze stellen dat Microsoft in een intern onderzoek meldde dat de buitgemaakte bugs werden gebruikt voor andere hacks. Maar omdat deze cruciale buginformatie volgens Microsoft ook elders had kunnen worden bemachtigd, besloot het bedrijf erover te zwijgen en de hack van de bugdatabase niet te onthullen. Microsoft hield het ook onder de pet omdat er later in veel gevallen al patches waren uitgebracht voor de bugs.

De aanvalsmethode waarmee de kwaadwillenden het bedrijfsnetwerk van Microsoft wisten binnen te dringen, trof onder andere de Mac-bedrijfstak van het bedrijf. In 2013 werd al eerder bekend dat de aanval via het iPhoneDevSDK-forum verliep en zich vooral op OS X-systemen richtte. Op het populaire forum was via een gehackte beheerdersaccount kwaadaardige JavaScript gezet, die bezoekers naar min.liveanalytics doorsluisde. Op die site stond al sinds 15 januari 2013 een Java-zeroday-exploit.

Door

Nieuwsredacteur

15 Linkedin Google+

Reacties (15)

Wijzig sortering
Dat moet toch wel het gouden ei zijn geweest voor de hackers. Een lijst met kwetsbaarheden incl. beschrijving en status van alle Microsoft producten.

Wel een interessante casus wanneer je kijkt naar de nieuwe privacy wetgeving. De Nederlandse toezichthouder (Autoriteit Persoonsgegevens) zegt bijvoorbeeld dat je als verantwoordelijke (Microsoft in deze) de plicht hebt om betrokkene (alle software gebruikers) te informeren op het moment dat je niet redelijkerwijs kunt uitsluiten dat derden toegang hebben gehad tot jouw persoonsgegevens. Wanneer hackers toegang hebben tot een database met genoeg info om RCE zeroday exploits te ontwikkelen lijkt me die kans toch wel aanwezig.

Kan iemand met een juridische achtergrond hierop toelichten?

[Reactie gewijzigd door densoN op 17 oktober 2017 15:57]

Nouja, formeel gezien is het lekken van het bestaan van een lek in de onderliggende software (van Microsoft in dit geval) geen datalek, aangezien er hierbij waarschijnlijk geen sprake is van verwerking van persoonsgegevens. (zie het schema op bladzijde 11)

Dus je zou het hooguit op opgelopen schade door nalatigheid kunnen gooien (slechte beveiliging van interne database), en er zal misschien ook nog wat over in staan in de Wet computercriminaliteit en de bepalingen rondom computervredebreuk. zie ook dit artikel van Arnoud Engelfriet

disclaimer: ik ben geen advocaat of jurist, ik heb alleen maar een periode het vak Recht gehad

[Reactie gewijzigd door field33P op 17 oktober 2017 16:15]

Och, zoals je met Wannacry hebt kunnen zien zijn zelfs opgeloste kwetsbaarheden nog prima bruikbaar. Updaten wordt lang niet altijd gedaan.
Volkomen mee eens. Maar kwetsbaarheden waar geen security updates voor beschikbaar zijn (zerodays) hebben een veel grotere impact, ook omdat ze vaak onder de radar van AV blijven.
Als ze het goed gereld hebben staat er absoluut geen persoonlijke informatie in de buglijst. Hooguit andere draaiende processen en hoe vaak dit voor komt. Als dit wel gekoppeld is lijkt me dat een grotere domper dan de hack zelf.
Wel een interessante casus wanneer je kijkt naar de nieuwe privacy wetgeving.
Nope, er stonden afaik geen persoonsgegevens in de database, dus er is niks te melden bij het AP.
"Maar omdat deze cruciale buginformatie volgens Microsoft ook elders had kunnen worden bemachtigd, besloot het bedrijf erover te zwijgen en de hack van de bugdatabase niet te onthullen. Microsoft hield het ook onder de pet omdat er later in veel gevallen al patches waren uitgebracht voor de bugs."
Dat het stilgehouden wordt om niet een immense extra druk opgelegd te krijgen *alles* asap op te lossen kan ik nog inkomen maar dat het 'elders bemachtigd kon worden' opgeven als reden?
Dat klinkt bijna net zo erg als een onnozele "De echte zero days staan er niet in????"
Ik vermoed dat ze bedoelen: "Als hackers de informatie misbruiken, kunnen wij daar niet de schuld van krijgen, want de hackers kunnen die informatie ook uit andere bron gehaald hebben."
Vijf voormalige Microsoft-medewerkers hebben nu aan Reuters onthuld dat ook informatie uit deze database in handen kwam van de hackers.
Het is dus niet alleen de bugdatabase dat vertrouwelijke informatie lekte.
Dit is geen vertrouwelijke informatie meer van het bedrijf in dit geval microsoft ook niet ten tijde dat het vermeld werd. Er is alleen aangegeven welk bedrijfs onderdeel gecomprimiteerd is. Geen specificaties. Het is zelfs informatie wat wettelijk niet vertrouwelijk gehouden mag worden na een redelijke looptermijn voor het oplossen van kwetsbaarheden.
Ooit, jaren (40+) geleden, werkte ik met een min computer (Pr1me) en de bug lijst was openbaar.

Ik ben daar nog steeds voor. Het scheelt als developer een hoop tijd als je kunt zien dat het niet jouw programma is dat in de soep loopt, maar dat het OS/ applicatie een fout bevat (overigens dat vinden is soms ook zoeken naar een speld in een hooiberg).
Toen niet, maar nu wel met interpret, kun je als bugs bekend zijn je als persoon/bedrijf te een inschatting maken wat dit voor je betekent.

Maar de hogere goden (NSA/Poetin,Sleepwet) zullen wel anders oordelen.
Komt nu nog steeds voor: Ieder opensource OS heeft een openbare buglijst. Meestal wordt er een bugtracker gebruikt zoals in git beschikbaar.
Het project waar ik actief ben (NethServer) gebruikt github als bugtracker
Ooit, jaren (40+) geleden, werkte ik met een min computer (Pr1me) en de bug lijst was openbaar.
Ik herinner me nog als de dag van gisteren, dat er rond 1977 geen (openbaar) internet bestond (pas sinds 1993), dus die situatie is niet echt vergelijkbaar. :)
Moderne bugs zijn gewoon veel te gevaarlijk, om ongeplet bekend te maken. Terwijl jij als goedwillende developer je applicatie aan het fine tunen bent, slopen duizenden kwaadwillenden wereldwijd miljoenen computers met die kennis.
"Terwijl jij als goedwillende developer je applicatie aan het fine tunen bent, slopen duizenden kwaadwillenden wereldwijd miljoenen computers met die kennis"

Dat gebeurd ook als je denkt dat jij en de melder de enige zijn die van de bug afweten ;)

In het openbare geval is er enorme druk (sociaal en economisch) om de bug te fixen. In het "geheime" geval niet. Daarom zijn er ook zo gigantisch veel bugs in proprietary software waar mensen met de juiste wil misbruik van maken.

Alhoewel ik ook wel ergens logica zie in het later bekend maken van bugs. Maar dat komt voornamelijk omdat maar zeer weinig organisaties in staat zijn snel (tien duizenden machines patchen in 10 minuten) updates uit te voeren. Dat heeft helemaal niets met techniek te maken, maar alles met mismanagement en gebrek aan focus op makkelijk te updaten en monitoren infrastructuur.

Dus die vertraging is dan vooral om ervoor te zorgen dat "genoeg" bedrijven op de hoogte gebracht kunnen worden dat ze de komende maand moeten gaan patchen en dus nu moeten in plannen.
Microsoft hield het ook onder de pet omdat er later in veel gevallen al patches waren uitgebracht voor de bugs.
Met die gedachten hoef je natuurlijk nooit melding te maken van een hack, er van uitgaande dat alle bugs vroeg of laat worden gepatcht. 8)7

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*