Database 250 miljoen records van Microsoft-klanten stond onbeschermd online

De klantendatabase van de supportafdeling van Microsoft stond onbeschermd online en was korte tijd te zien met elke webbrowser, zonder authenticatie. Dat heeft het bedrijf zelf bekendgemaakt. Het gaat om 250 miljoen records, maar in veel gevallen waren privégegevens niet zichtbaar.

De database was online te vinden door een configuratiefout in de beveiliging van de database, schrijft Microsoft. Een wijziging van die configuratie vond plaats op 5 december vorig jaar, waarna beveiligingsonderzoekers van Comparitech er op 29 december achter kwamen. Microsoft fixte het probleem op 30 en 31 december, schrijven zij.

De database omspande de contacten die Microsofts ondersteuningsafdeling met klanten had gehad tussen 2005 en eind 2019. Het ging in totaal om 250 miljoen records, maar in veel van die gevallen waren privégegevens door de software onleesbaar gemaakt. In enkele gevallen, bijvoorbeeld als er onverwachte tekens in een veld stonden, was de informatie nog wel te lezen. Microsoft heeft getroffenen naar eigen zeggen op de hoogte gebracht. Het is onbekend om hoeveel klanten het gaat.

Volgens Comparitech kunnen scammers de informatie misbruiken om zich nog beter te kunnen voordoen als supportmedewerker van Microsoft, een truc waarmee oplichters vaak proberen om Windows-gebruikers geld afhandig te maken. Volgens Microsoft is er geen aanwijzing dat criminelen de database in handen hebben gekregen.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 22-01-2020 17:23
37 • submitter: Iekozz

22-01-2020 • 17:23

37

Submitter: Iekozz

Lees meer

Criminelen hadden maandenlang toegang tot sommige Outlook-accounts - update 2
Criminelen hadden maandenlang toegang tot sommige Outlook-accounts - update 2 Nieuws van 15 april 2019
Database Family Locator-app met realtime-locatiedata stond onbeveiligd online
Database Family Locator-app met realtime-locatiedata stond onbeveiligd online Nieuws van 24 maart 2019
Opleidingssite Lynda reset wachtwoorden 55.000 gebruikers na datalek
Opleidingssite Lynda reset wachtwoorden 55.000 gebruikers na datalek Nieuws van 18 december 2016
Beveiliging en antivirus Microsoft Datalek

Reacties (37)

-Moderatie-faq
37
36
17
2
0
4
Wijzig sortering
theemstra 22 januari 2020 19:32
Ik was één van de geluksvogels, vanmiddag om 15:59 op de hoogte gebracht. Zie hier de e-mail.

Wij bieden toegevoegde waarde bij Microsoft Office 365-producten, hebben met regelmaat contact met Microsoft Support voor de edge cases. Bij een opvolgvraag blijkt dat het gaat om de inhoudelijke vraag + onze (partner)gegevens: partner- en tentantgegevens, mail, telefoon, ons ip-adres, en inderdaad in een edge-case gaat het om een e-mailadres of iets dergelijks, de accounts waar het specifiek om gaat krijgen nog apart bericht, naast dit bericht. Na het opnieuw lezen van de e-mail stond dit ook al netjes vermeld.

Wij hebben nog geen apart bericht, verwacht het ook niet, in de support-systemen vermelden wij enkel de tenantnaam en het probleem waar we mee zitten, meestal een routineklus (dehydrated tenants fixen, vreemde exchange en sharepoint-issues oplossen). In onze case history teruggekeken en inderdaad geen gegevens die niet reeds publieke informatie zijn aangetroffen (tenantnaam, DNS-gegevens). Ben benieuwd hoe andere Microsoft Partners hiermee omgaan.
Juice. 22 januari 2020 17:29
Ik vind ongeveer 25 dagen nou niet bepaald een “korte tijd”. Best knullig voor een bedrijf als Microsoft.
EgMaf @Juice.22 januari 2020 22:46
Het was gefixt in één dag na de melding, maar het is pas weken later in het nieuws gekomen
walteij @EgMaf23 januari 2020 07:08
En die weken zullen gebruikt zijn om de impact te analyseren. Hoe vaak is de database benaderd, vanuit waar, welke IP reeksen hiervan behoren niet tot Microsoft, wat is er vervolgens in de database benaderd en ga zo maar door.

Een audit uitvoeren op een database van 250 miljoen klanten is niet iets dat je eventjes tussendoor door je junior security analist laat doen.

Door de analyse kan Microsoft in ieder geval een redelijk verhaal naar buiten brengen over de misconfiguratie en mogelijke impact.
Bron: Mijn eigen mailbox


Microsoft database containing Customer Support data was accessible from the Internet
Microsoft has corrected an issue identified by a third-party security researcher where a database containing a subset of information related to customer support interactions was accessible to the internet between the dates of December 5, 2019 and December 31, 2019. This issue was specific to an internal database used for support case analytics and does not represent an exposure of our commercial cloud services. Once identified, Microsoft mitigated the issue, and our security team’s investigation found no indication of malicious use of the database records.
As part of our commitment to your privacy, you are receiving this message as an Azure account administrator or subscription administrator of this subscription because some of your support case data was identified during our analysis. Additionally, we identified that although our data scrubbing process largely removed any reference to your data or that of your users, in the interest of transparency we are notifying you that this database was temporarily accessible via the internet.
Affected customers are being notified of this event. To obtain the data specific to your organization that were potentially exposed, please submit an Azure support request.


Summary of event
During the investigation, we determined that this information was potentially exposed due to a misconfiguration of network security group security rules.
Microsoft engineers determined that a change made to the database's network security group on December 5, 2019 contained misconfigured security rules that enabled exposure of the database information. Upon notification of the issue, engineers remediated the configuration on December 31, 2019 to restrict the database and prevent unauthorized access.
As part of Microsoft’s standard operating procedures, data stored in the database is redacted using automated tools to remove personal information. Our investigation confirmed that the vast majority of records were redacted as intended. In some scenarios, the data may have remained unredacted if it met specific conditions. An example of this occurs if the information is in a non-standard format, such as an email address separated with spaces instead of written in a standard format “XYZ @contoso com” vs “XYZ@contoso.com”. We have begun notifications to customers whose data was present in this redacted database.

We are committed to the privacy and security of your data and are taking action to prevent future occurrences of this issue. These actions include:
• Audit the established network security rules for internal resources.
• Expand the scope of the mechanisms that detect security rule misconfigurations.
• Add additional alerting to service teams when security rule misconfigurations are detected.
• Implement additional redaction automation.

Misconfigurations are unfortunately a common error across the industry. We have solutions to help prevent this kind of mistake, but unfortunately, they were not enabled for this database. As we’ve learned, it is good to periodically review your configurations and ensure your own configurations and ensure you are taking advantage of all protections available.
This documentation is included as general guidance and is not intended to be all-inclusive for how to configure your environment.
Governing your Azure Workloads
Network Security Groups
Managing Network Security Groups
Network Security Group Security Rules
Enabling Logging on Network Security Groups

<knip> footer met informatie over mijn Azure subscription</knip>

[Reactie gewijzigd door walteij op 26 juli 2024 04:41]

haha666413 @Juice.22 januari 2020 18:17
Kun je dan een voorbeeld geven van een bedrijf met vergelijkbare omvang en capaciteiten die dit sneller wist op te lossen ter vergelijking in de snelheid?
bazs2000 @haha66641322 januari 2020 19:25
Waarom zou er een voorbeeld van een ander bedrijf gegeven moeten worden? Telt het anders niet? Je kunt dit met twee petten bekijken. Met de éne pet valt het wel mee omdat 25 dagen vrij snel is in deze wereld. Met de andere pet denk ik aan de eindgebruikers en dan is 25 dagen toch echt heel lang voor dergelijke gegevens.

Van Microsoft verwacht ik eerlijk gezegd ook dat zij gegevens wel iets beter achter gesloten deuren houden. :)
DigitalExorcist @bazs200022 januari 2020 20:11
Op de 14 jaar aan data die online stond is 25 dagen peanuts 😜
grrfield @DigitalExorcist22 januari 2020 20:38
Ben ik niet mee eens. Als je een website host dan zie jaar binnen de kortste keren webcrawlers die alle content in een keer leechen. Aangezien de data daar 25 dagen onbeveiligd gestaan heeft lijkt, het me zelfs een wonder dat ze niet ergens op een andere plaats terecht is gekomen.
bazs2000 @DigitalExorcist22 januari 2020 20:25
Oi, in 14 jaar heb ik paar slechte relaties achter de rug, ben vader geworden en 4x van baan veranderd. Om 14 jaar even in perspectief te plaatsen. Nah, 25 dagen is in dat opzicht zeer kort. :D
Mushroomician 22 januari 2020 19:33
Bij dit soort berichten vraag ik me weleens af wat er met de gesprekgeschiedenissen zijn gebeurt van MSN/ Windows Live Messenger. Dit was geloof ik ook nog eens zonder versleuteling, maar erg technisch was ik niet in die tijd. Wel naief. En dom.
South Park heeft in iedergeval een soort aflevering ervan gemaakt. Ik hoop maar dat we snel naar Mars kunnen :9~

[Reactie gewijzigd door Mushroomician op 26 juli 2024 04:41]

psychodude @Mushroomician22 januari 2020 22:59
Tsja, laten we wel wezen, andere tijden. Je kunt het nu natuurlijk nog nauwelijks bevatten. Maar in de hoogtijdagen van MSN waren dit soort chat services al snel niet encrypted, wachtwoorden werden veelvuldig in plain text opgeslagen en met ontzettend simpele username / wachtwoord combinaties als bijv. admin - azqwerty kon je gewoonweg inloggen op de admin interface van internetfora met toch soms gebruikersaantallen in de vele duizenden.

Om het nog maar niet eens te hebben over de vele FTP servers die niet tot zeer matig beveiligd toegankelijk waren, opvallend veel systemen via telnet eveneens vrij makkelijk toegankelijk waren. Een tijd waarin systemen direct aan modems hingen, geen routers, geen firewalls, vaak eigenlijk niets. De dagen waarin hele legio's aan websites vatbaar waren voor zaken als SQL injection.

Eveneens om te bedenken hoe het destijds in non-switched netwerken mogelijk was om met packet sniffing de packets van je gehele LAN te ontvangen. Waarmee je op school de MSN gesprekken van iedereen in de bibliotheek kon inzien.

Anno 2020 natuurlijk nauwelijks voor te stellen allemaal. De tijden zijn veranderd. Het internet is aanzienlijk volwassener geworden. De eisen en verwachtingen liggen steeds hoger.

Hoewel tegenwoordig ook zeer zeker nog niet ideaal. Een probleem dat met name nog wordt gezien bij mensen die toch net iets minder tech savvy blijken te zijn dan dat ze zichzelf van bewust zijn. Bijv. mongoDB databases openen zonder security in te stellen, als optionele stap. Een firestore database opzetten aan de hand van de zoveelste tutorial waarin voor het gemak authenticatie wordt uitgezet, en daar op voortborduren en ergens vergeten dit weer in te stellen.

Ook bij grote bedrijven kan er nog wel eens wat mis gaan. Zie zo ook deze nieuwspost. Maar ik zou mij anno 2020 meer zorgen maken om de kleinere startups waarbij je data achterlaat. Van buitenaf niet inzichtelijk tot op wat voor een mate de security op orde is.
_Eend_ @Mushroomician22 januari 2020 19:40
MSN/WLM was volledig clear text. Maar het was in die tijd ook niet normaal.

En ik vraag me ook af of die chatlogs nog ergens te vinden zijn. Lekker weer de MSN-ruzies met je ex-vriendinnen teruglezen :+

[Reactie gewijzigd door _Eend_ op 26 juli 2024 04:41]

jimzz @_Eend_22 januari 2020 19:49
Haha, ik gebruikte vroeger MSN plus waarmee je chatlogs kon opslaan. De meeste daarvan heb ik vast nog ergens op een oude email inbox staan.
Mushroomician @_Eend_22 januari 2020 21:57
Ja aangezien het allemaal clear text was, zullen ze ongetwijfeld niet alleen in de VS zijn opgeslagen bij MS, maar ook bij alle inlichtingendiensten van hier, via UK tot de VS, of welke organisatie dan ook die ook maar een glasvezeltje of core routers in beheer hadden.
DigitalExorcist @Mushroomician22 januari 2020 20:13
Je kon als je zelf een IPcop router had een plug-in installeren die MSN-gesprekken kon afvangen. Dus ja, plaintext.
GenGF @Mushroomician23 januari 2020 23:35
Dat stond vroeger ergens lokaal gearchiveerd toch? Verkapte XML meen ik, was goed te lezen met een Notepad of andere uitgeklede editor.
Mushroomician @GenGF23 januari 2020 23:41
Ja en nee. Tot versie 8 ongeveer kon je het alleen lokaal opslaan, maar op een gegeven moment werd ook online toegevoegd, zodat je op andere apparaten kon inloggen en je gesprek afmaken. Ook werden offline berichten bezorgd wanneer je online kwam, dus dat moet allemaal ergens opgeslagen zijn, maar heb ik nooit kunnen terugvinden op de hotmail website, profielinstellingen, of tegenwoordig het Microsoft account.
tom_postma 23 januari 2020 09:19
Gister al eerste Spam mailtjes binnen van "Microsoft" - Lekker Google translate gebruikt ;)

Voorbeeld mailtje:
"Beste Beheerder,
Mijn naam is Morad en ik ben een Support Ambassadeur van Microsoft Office 365.

Dit contact is uit hoffelijkheid om u op de hoogte te stellen dat ons systeem heeft opgemerkt dat niet alle licentiehouders gebruik maken van de diensten welke in uw Office 365 abonnement vallen. Wij nemen het initiatief om u op de hoogte te stellen van de mogelijkheden binnen uw abonnement.

Daarom zal ik u tijdens kantoortijden telefonisch contacteren op het telefoonnummer welke u heeft opgegeven in uw account. Mocht u op een specifiek moment gebeld willen worden, vraag ik u om op deze mail te reageren met de gewenste tijd en datum.

Indien u geen contact wilt, vraag ik u tevens om op deze mail te reageren.

Met vriendelijke groet,
Morad M********
Microsoft Ambassadeur "
Aherin 22 januari 2020 17:36
Bij dit soort nieuwsberichten moet ik altijd denken aan Elastic Search :|
downtime @Aherin22 januari 2020 18:08
Bij dit soort nieuwsberichten moet ik altijd denken aan Elastic Search :|
Met een bepaalde reden of denk je gewoon altijd aan Elastic Search?
Schuurdeur @downtime22 januari 2020 18:44
Waarschijnlijk komt dat door de grote hoeveelheid installaties die gewoon open en zonder enige bescherming online staan.

Bijvoorbeeld: https://tweakers.net/nieu...asticsearch-clusters.html

[Reactie gewijzigd door Schuurdeur op 26 juli 2024 04:41]

Aherin @downtime23 januari 2020 08:34
wat schuurdeur al zei :) Elastic Search heeft standaard geen goede beveiliging, dan moet je ofwel een reverse proxy gebruiken, of een X-Pack kopen :X

Al hebben ze in de nieuwste versie geloof ik wel standaard beveiliging.. voelen denk ik ook al wel nattigheid over hun goede naam :')
Yggdrasil @Aherin23 januari 2020 11:26
Inderdaad is de securityfeature sinds mei 2019 gratis beschikbaar. https://www.elastic.co/bl...elasticsearch-is-now-free

Zoiets zat overigens al jaren ingebouwd in de hosted versies van ElasticSearch, zoals die van AWS of de 'officiële' van Elastic.co zelf. De kwetsbare installaties waren vrijwel altijd self-hosted. Desalniettemin nogal naïef om dit zonder bescherming aan het internet te hangen.
Saven 22 januari 2020 17:28
Zal wel "hello Microsoft support India" zijn :+ Nog steeds erg knullig
turbojet80s @Saven22 januari 2020 20:22
Ik kreeg deze week een Nederlands sprekende medewerker aan de lijn voor een probleem in office 365. Dat was een aangename verrassing!
powerboat 22 januari 2020 20:03
Toch maar een mooie honeypot |:(

Daarom toch altijd enige twijfel over de mistige cloud. Niet dat onprem heilig is :Y)
loweedje @powerboat22 januari 2020 20:53
Dat zou wel fraai zijn. Gewoon uitlokken met een honeypot idd. Een suggestieve database 'per ongeluk' beschikbaar. Heel veel info verzameld over (wannabe) hackers.
Bozebeer38 22 januari 2020 20:37
Laatste tijd sowieso raar gedoe met Outlook (mail app voor Windows 10), dat zogenaamd mijn account instellingen zijn verouderd, pincode invoeren dat ik het ben, hersteld het account en klaar.

Week of twee later weer.

Dat is al 3x zo gegaan deze maand.

Beetje vreemd, eigenlijk nooit eerder gehad of meegemaakt.
warzaw @Bozebeer3822 januari 2020 23:23
Ik heb van precies dit probleem al meer dan een jaar last van. Het account gebruik ik niet frequent, maar moet hem constant herstellen om verder onduidelijke redenen. Ben benieuwd of hier iets aan te doen is, heb op Internet niet veel kunnen vinden.
mutley69 22 januari 2020 20:54
Hopelijk krijgt Microsoft een zeer zware GDPR-boete. Wat voor een ander geldt moet zeker voor Microsoft gelden!
Scriptkid @mutley6922 januari 2020 21:27
Waaromdan?
As part of Microsoft’s standard operating procedures, data stored in the support case analytics database is redacted using automated tools to remove personal information.
majorlol 22 januari 2020 17:27
Even titel aanpassen naar miljoen?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq