Microsoft bevestigt lek BPOS-adresboek

Microsoft heeft in een e-mail aan klanten toegegeven dat er kortstondig een lek zat in zijn BPOS-clouddienst. Derden konden het adresboek van bedrijven downloaden. Volgens Microsoft is dat ook gebeurd. Het lek werd na twee uur verholpen.

Het lek zat in het Offline Adress Book van de Business Productvitity Online Suite, een clouddienst van Microsoft voor bedrijven. Gedurende enkele uren konden kwaadwillenden onder bepaalde omstandigheden het adresboek, met adresinformatie voor werknemers, downloaden. Microsoft heeft contact opgenomen met de bedrijven waarvan het adresboek door derden is gedownload, zo zegt de softwarefabrikant in een e-mail aan BPOS-klanten, waarover Tweakers.net beschikt.

Het issue kwam alleen voor bij klanten met BPOS Standard. Andere services dan het adresboek bevatten volgens Microsoft het lek niet. Het softwarebedrijf belooft klanten dat het lek niet meer kan optreden. De informatie kon worden geopenbaard omdat ook het Offline Adress Book, hoewel de naam anders doet vermoeden, op servers wordt bewaard.

BPOS is een softwaresuite voor bedrijven, waarmee informatie op servers van Microsoft kan worden opgeslagen. De suite omvat onder meer onlineversies van Exchange, SharePoint en diverse andere Office-toepassingen. In Nederland heeft Microsoft een eigen datacentrum, zodat gehoste data de landsgrenzen niet over hoeft. Hier gebruiken onder meer het Amstelland Ziekenhuis en het Maasstad Ziekenhuis onderdelen van BPOS. Philips laat 80.000 gebruikers met het Communications Online-onderdeel werken.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 22-12-2010 12:10
34 • submitter: jimbo123

22-12-2010 • 12:10

34

Submitter: jimbo123

Lees meer

21 jul 2010

Microsoft: wij zijn klaar voor de cloud-evolutie

120
Microsoft: verdwijnen https-versleuteling op Hotmail was een bug
Microsoft: verdwijnen https-versleuteling op Hotmail was een bug Nieuws van 27 maart 2011
Microsoft belooft tussenperiode bij wijzigen clouddiensten
Microsoft belooft tussenperiode bij wijzigen clouddiensten Nieuws van 28 januari 2011
Enisa is kritisch over gebruik clouddiensten door overheid
Enisa is kritisch over gebruik clouddiensten door overheid Nieuws van 17 januari 2011
Google laat Microsoft Office via plug-in synchroniseren met Docs
Google laat Microsoft Office via plug-in synchroniseren met Docs Nieuws van 23 november 2010
Microsoft bundelt zakelijke clouddiensten in Office 365
Microsoft bundelt zakelijke clouddiensten in Office 365 Nieuws van 19 oktober 2010
Microsoft brengt ontwikkeltools uit voor gebruik php in Azure-cloud
Microsoft brengt ontwikkeltools uit voor gebruik php in Azure-cloud Nieuws van 20 september 2010
Meer producten en artikelen
Software Privacy Microsoft Beveiliging Cloud computing

Reacties (34)

-Moderatie-faq
34
33
25
1
0
3
Wijzig sortering
Anoniem: 69767 22 december 2010 12:11
Als het zo doorgaat met telkens nieuwe lekken, wil niemand nog data in de Cloud-opslaan. Het is inmiddels vaste kost op de frontpage. Iedere dag verschijnt wel een artikel dat bedrijf X of Y weer data heeft gelekt met prive-gegevens. De dieven moeten niet allang harder gestraft worden, maar er moet ook een centraal meldpunt komen waar bedrijven hun lek moeten melden. Dit zou kunnen via de WBP en het CBP. Zo ontstaat er tenminste inzicht in de situatie. Want Microsoft meldt het tenminste nog netjes, maar heel veel bedrijven proberen een lek ook heel vaak gewoon onder het kleed te vegen: "oeps, we hebben het aangepast - en we zeggen lekker niks".

[Reactie gewijzigd door Anoniem: 69767 op 30 juli 2024 05:44]

corl @Anoniem: 6976722 december 2010 12:19
Het is gewoon naïef om te denken dat data in een cloud ten alle tijden beveiligd is, zonder dat er een stevige VPN (of iets dergelijks) tussen zit. Er kan altijd iets mis gaan bijvoorbeeld na een update waardoor er een stukje informatie opeens beschikbaar is voor de buiten wereld. Als je daar niet mee kunt leven moet je gewoon de data niet in een onbeveiligde cloud zetten.
108886 @corl22 december 2010 12:26
Ik denk toch dat je een behoorlijk hoge factor veiliger zit in de cloud/bij BPOS dan bv. op je eigen servers binnen het bedrijf. Je kan gewoonweg nooit zo goed beveiligd zitten als op de servers van MS/Google,... zelf. Idem met de 99.9% uptimegarantie... dat kan je als bedrijf NOOIT zelf volhouden.

Uiteraard is de kans dat hackers jouw specifieke bedrijf zullen targeten ook een stuk kleiner dan de databases van MS/Google...

Het blijft altijd een risico vrees ik.

Jammer van het lek, maar netjes dat ze het bekendmaken. Eerlijkheid duurt het langst
Elmo_nl @10888622 december 2010 12:46
Ik zal wel van de oude stempel zijn maar ik geloof die redenatie niet dat alles in de cloud veiliger is. Als bedrijf zijnde je hele boekhouding, klantgegevens, strategische planning voor de komende jaren etc wegzetten 'bij een ander' is, tja, op zijn zachtst gezegd niet zo slim. Maar goed, de tijd zal het leren. Blij dat ik hier op werk 'de baas' ben over mijn eigen servers en netwerk. Als ik extra rekenkracht nodig heb kan ik dat altijd nog ergens uitbesteden maar toch niet je meest gevoelige informatie?

* edit: en over de uptimegarantie, tja daar heb je een punt. Maar als het LAN hier plat ligt (om wat voor rede dan ook) wordt het zowiezo lastig voor de gebruikers om 'op het internet' te komen.

[Reactie gewijzigd door Elmo_nl op 30 juli 2024 05:44]

Krokant @Elmo_nl22 december 2010 14:30
Wel, ik ben zelf een technisch iemand, dus ik hoop dat je het me niet kwalijk neemt dat ik zeg dat dit een typische reactie van een technisch iemand is. En je hebt natuurlijk voor de volle 100% gelijk dat je data uit handen geven een veiligheidsrisico inhoudt. De vraag is vooral: is dat is het belangrijkste?

Ik kom regelmatig in middelgrote - grote bedrijven (5000+ users) en ik hoor steeds meer en meer CIO's en senior IT managers zeggen dat mail "geen bedrijfskritische applicatie" is (your mileage may vary -- ze zeggen het niet allemaal maar het moet in "CIO Magazine" gestaan hebben of Gartner moet het eens gezegd hebben want het komt vaak terug :D). Als een Microsoft via een service gebaseerd model je kosten voor je mailsysteem kan halveren, dan moet je dit beginnen afwegen tegen het risico dat er bij hoort. Voor business mensen (die typisch vooral technische oplossingen willen zien) neigt de balans dan snel naar "cloud computing". Voor technische mensen (die typisch vooral technische problemen zien) neigt de balans dan eerder naar het binnenshuis houden. Ik weet niet hoe het bij jullie zit, maar de mensen met de centen (= de business) trekken meestal aan het langste eind :).

Hetgeen ik persoonlijk het meest vreemde vind, is dat bij kleine bedrijven er nog niet massaal naar cloud computing oplossingen gekeken wordt. Een mailserver zelf uitbaten voor 25 users is gewoon lachwekkend duur in vergelijking wat een Microsoft vraagt voor 25 BPOS accounts (listprice: $250 per maand). Natuurlijk kost de hardware voor je eigen servertje absoluut niets, maar je moet niet vergeten dat je als IT'er als persoon de duurste component in zo'n kleine omgeving bent. Als je met BPOS maar usertjes moet aanmaken via een web interface waarvoor je absoluut geen technische kennis nodig hebt, dan kan het voor een bedrijfsleider wel interessant zijn die dure IT'er (€50k per jaar en meer) te elimineren ten voordele van een BPOS (€ 2k per jaar op zo'n schaal).

Het zal allemaal wel zo een vaart niet lopen (of toch?) en je hebt inderdaad vandaag nog technische mensen nodig om PC'tjes te deployen en dergelijke... Ik vraag me af hoe een Google Chrome OS ook die noodzaak voor on-site IT staff zal elimineren. Voor een printer jam te corrigeren zie ik ze over een paar jaar heus geen IT geek meer betalen.

Dus ja, je mag vandaag gerust blij zijn dat je baas over je eigen IT bent, ik zou toch ook eens kijken naar heel dat cloud gedoe als je over een paar jaar nog in de IT wil werken :). Vandaag is het misschien soms nog allemaal een beetje met horten & stoten (cfr. original post), maar dit zijn ook nog maar versie 1.0 oplossingen. Als we tegen versie 3.0 zitten over een paar jaar daarentegen.... Just my 2 cents...

[Reactie gewijzigd door Krokant op 30 juli 2024 05:44]

tc982 @10888622 december 2010 12:57
Uptime garantie :

BPOS heeft dit jaar al 4 major downtimes gehad :

http://mcpmag.com/article...utages-slas-affected.aspx

En dat was een artikel in September, ondertussen is er nog één gebeurd. Dus dat blijkt al bij al ook nog tegen te vallen.

En volgens hun eigen blog zijn er nog een downtime geweest in December : https://rss.microsoftonli...=notifications&lang=en-us

En dit gooi ik er maar ook eens bij :

Major outages coupled with the obvious inability to fail over to redundant facilities during these outages shows that Microsoft and the BPOS platform is nowhere near ready for corporate use. They outsource most of the management to contractors and only use Microsoft employees during escalations. They cant fail clusters over, and the integration to premise systems is basically impossible. If price is the driver and you dont care if your employees are offline for 3 hours at a time in the middle of the work day, then BPOS could be a great platform choice.

[Reactie gewijzigd door tc982 op 30 juli 2024 05:44]

CAPSLOCK2000
@10888622 december 2010 13:40
Dat is een kwesite van risico-analyse. De kans op problemen is misschien groter als je alles zelf doet, maar als het fout gaat dan is de schade ook beter te beperken.

Als een bedrijf met privacy-gevoelige info werkt vind ik dat ze het niet slim om de hosting uit te besteden. Privacy is je core-bussiness, dat moet je dan niet door een ander laten doen waar je geen directe controle over hebt. Als zij een fout maken dan is jouw bedrijf naar de knoppen, klanten zitten niet te wachten op een leverancier die verantwoordelijkheid afschuift.
OkselFris @10888622 december 2010 13:55
Denk je dat? Het grootste probleem met BPOS is juist de gebrekkige beveiliging. Dit is 1 van de zaken die Microsoft in de opvolger Office365 gaat aanpakken. De gedachten dat het bij een MS per definitie veiliger is, is absoluut naief. Ja ze hebben meer mogelijkheden en je mag van hen wat meer verwachten, maar of men het werkelijk goed doet is vraag 2.
Krokant @OkselFris22 december 2010 14:34
Gebrekkige beveiliging in BPOS? Kan je hier even iets meer over vertellen? Heb je het dan over een leak in de software, een zwakte in de encryptie? Of het feit dat Microsoft je mail data kan lezen? Waarom zouden ze dat in godsnaam willen (of werk jij toevallig voor Airbus of Swift?).

De enige zwakte die ik in de huidige versie van BPOS ken heeft te maken met het tijdelijk opslaan van een credential certificaat dat je eventueel via offline harddisk scanning zou kunnen capteren om zo een BPOS mailbox te accessen. De communicatie met BPOS zelf is verplicht over RPC over HTTPS (Outlook Anywhere) en voor POP3/SMTP moet je ook steeds de SSL/TLS varianten gebruiken. Dat lijkt me redelijk standaard security allemaal...

[Reactie gewijzigd door Krokant op 30 juli 2024 05:44]

OkselFris @Krokant22 december 2010 16:13
Fatsoenlijke authenticatie? Geen ondersteuning van 2 factor authetication? Iets waar vele bedrijven wel vraag naar hebben. Het met grote moeite uit kunnen zetten van webbased functionaliteit?
Bedrijven die security audits verzorgen, zoals KPMG beginnen spontaan te hoesten wanneer ze BPOS horen.
Gelukkig beloofd Office365 beterschap.
arjankoole
@10888622 december 2010 13:59
Je kan gewoonweg nooit zo goed beveiligd zitten als op de servers van MS/Google,... zelf. Idem met de 99.9% uptimegarantie... dat kan je als bedrijf NOOIT zelf volhouden.
Ik ken heel veel bedrijven, van groot tot klein, van ISP tot winkelier, die dat PRIMA geregeld hebben. Waarom zou een bedrijf met goeie mensen in dienst minder goed zijn op dat gebied dan een MS of Google? De mensen die daar werken zijn heus niet beter dan anderen.
VNA9216 @10888622 december 2010 16:37
Echter is je bedrijfs adresboekje op je eigen server niet zo'n groot doelwit als de complete cloud dienst van microsoft. dus dat compenseert dan misschien dat kleine beetje minder specialisme dat je eigen bedrijf heeft.
Anoniem: 69767 @corl22 december 2010 12:21
Ze kunnen iedere gebruiker toch een unieke sleutel geven, zodat jij alleen met jouw sleutel - het met jouw unieke key versleutelde adresboek kan ontsleutelen?

[Reactie gewijzigd door Anoniem: 69767 op 30 juli 2024 05:44]

johnkeates @Anoniem: 6976722 december 2010 14:16
Op Windows kan dat niet.
PcDealer @johnkeates22 december 2010 19:56
Volgens mij heeft RSA, SafeWord en nog wat anderen daar prima oplossingen voor onder Windows.
dasiro @Anoniem: 6976722 december 2010 14:51
tot je sleutel uitlekt of er ergens toch een master key bestaat
humbug @Anoniem: 6976722 december 2010 12:32
De overheid wil graag dat alle situaties die tot datalekken kunnen leiden gemeld gaan worden. Ik hoop dat jij ook begrijpt dat zoiets niet werkt. Er zijn te veel issues (variërend van verloren telefoons tot gehackte servers) waar data kan worden gelekt.

Regelgeving helpt hier maar beperkt tegen. Het is al jaren verboden dat politieagenten even wat antecedenten onderzoeken van het vriendje van hun dochter, toch gebeurd het nog steeds.

Wil je dus niet dat je gegevens openbaar worden geef ze dan niet uit handen! Alles wat je uit handen geeft zal uiteindelijk uitlekken.

In plaats van alles te registreren zou men zich moeten concentreren op belangrijke zaken als politie dossiers, patienten dossiers, salaris/uitkerings informatie en bv de belastingdienst. Gericht belangrijke zaken aanpakken werkt stukken beter dan een meldpunt waar alle troep naar toe gegooid moet worden. Dat laatste is voornamelijk werkverschaffing.
Maxxi 22 december 2010 12:13
Zou het lek 2 uur bekend zijn, of totaal 2 uur hebben bestaan.

In het tweede geval zijn sommige mensen wel heel geintreseerd in deze data.
Hyperik @Maxxi22 december 2010 12:30
Valt inderdaad mee. In tegenstelling heeft google apps dat ik voor alles gebruik nog steeds meerdere lekken die al maanden exploiteerbaar zijn. Zoek maar op google apps lekken in google.

Tuurlijk zijn sommige lekken meer kritiek maar van Microsoft verwacht je toch dat ze er bijna geen hebben of binnen de kortste tijd updaten.

Wel netjes dat ze precies weten wat er geaccessed is en dit snel informeren naar de klanten.

[Reactie gewijzigd door Hyperik op 30 juli 2024 05:44]

Rinzwind @Hyperik22 december 2010 12:42
Goh, valt wel mee... Ik heb nog niets gelezen over bedrijven die niet door eigen toedoen data zijn kwijtgeraakt via Google Apps.
humbug @Rinzwind22 december 2010 12:43
Hier is ook niemand iets kwijt. Er is alleen data gedupliceerd
Rinzwind @humbug22 december 2010 12:46
Zucht ik bedoel dus kwijt als gedupliceerd zoals je het zo mooi zegt ;P
Anoniem: 80466 @Hyperik22 december 2010 12:59
Wel netjes dat ze precies weten wat er geaccessed is en dit snel informeren naar de klanten
Ik vraag me af of zo ook informatie over de downloader aan de bedrijven ter beschikking stellen zoals een IP adres zodat de bedrijven kunnen zien of het een eigen persooneelslid was en dus vrij onschuldig of dat het een derde hun gegevens heeft gedownload
Anoniem: 36664 @Maxxi22 december 2010 12:18
Na bekendwording van het lek bij MS hebben ze het lek gedicht binnen 2 uur. Dat is wat er feitelijk staat. Het is dus onbekend hoelang het lek erin zat.

Maar zoals bobwarley al opmerkte; Dit is geen goede reclame voor cloud in het algemeen...
wiert.tweakers 22 december 2010 13:24
Het is naief om te denken dat data veilig is, of het nu in een cloud dienst (al dan niet private) zit of ergens anders zelf opgeslagen wordt.

Systemen zijn tegenwoordig dermate complex, en van zoveel menselijk gedrag afhankelijk, dat niemand kan garanderen dat er nooit ergens een lek zit.
Polderdijk 22 december 2010 13:41
In Nederland heeft Microsoft een eigen datacentrum, zodat gehoste data de landsgrenzen niet over hoeft.
Niet helemaal ontopic,maar bovenstaande informatie klopt maar deels.

Ik ben vorige week naar een BPOS bijeenkomst van Microsoft geweest, maar het primaire datacenter staat in Ierland, niet in Nederland.
Wat wél is, is dat de backup cloud in Amsterdam staat.

Wel zijn er heel veel regels e.d. opgesteld samen met de EU dat alle data van bedrijven uit de EU alleen maar binnen de EU wordt opgeslagen, niets gaat deze grens over.

Dit vind ik o.a. een van de grote voordelen t.o.v. bijvoorbeeld Google dat (ook bij business abo's) je geen garantie krijgt of je data binnen de EU blijft. Als dit dus in Amerika wordt opgeslagen, kan bijvoorbeeld de FBI al jouw data doorsnuffelen.

Daarom heeft Microsoft zoveel klanten uit de medische wereld, de regels voor medische data is namelijk dat dit hoe dan ook binnen de EU moet blijven.
scsirob 22 december 2010 12:26
Als een groot bedrijf al cloud diensten wil hebben, dan in een private cloud. Geen enkel zichzelf respecterend bedrijf levert zijn data over aan een publieke dienstverlener. Vragen om ellende.
charlie @scsirob22 december 2010 12:34
Das heel kort door de bocht.
Elk zich respecterend bedrijf maakt gewoon af en toe de afweging wat het meest interessant is. Intern service verzorgen of extern. Hierbij worden verschillende punten afgewogen :
  • Prijs
  • Performance
  • Beschikbaarheid
  • Veilgheidsgaranties
OkselFris @scsirob22 december 2010 13:57
Je moest eens weten wat van grote jongens gebruik maken van de cloud diensten van bijvoorbeeld MS. En dan praat ik over grote beursgenoteerde bedrijven.
Rinzwind @scsirob22 december 2010 12:41
Niet? Vooral oogkleppen ophouden. Er zijn genoeg grote bedrijven in zee met Google of MS. Deze twee vechten ook flink.
johnkeates 22 december 2010 14:19
Uit de informatie in deze comments en het artiekel alleen al lijkt het dat vendor lock-in of low-level ICT'ers buddy's willen zijn met Microsoft terwijl bekend is dat het niet heel goed werkt (BPOS) over een langere tijd. En toch gaan grote bedrijven er mee werken, gaat iedereen er mee akkoort en is het prima. Er is een groot aantal andere opties, maar die worden niet gebruikt, om dat het Microsoft label er niet op staat. Is het dan zo moeilijk te begrijpen? Het werkt niet echt, en het is duur. Wat is er nog meer nodig om te snappen dat er naar een andere leverancier gekeken moet worden?! Microsoft is een groot bedrijf, en het kan flink wat, maar dit werkt gewoon niet.
OkselFris @johnkeates22 december 2010 17:34
Eens, de performance van de huidige BPOS versie is erg mager. Veel bedrijven vertrouwen nou éénmaal op de naam Microsoft en Microsoft kan ook nog eens goed spul verkopen vanaf het papier. BPOS zie ik als een bijna beta versie, zoveel zaken die niet zijn geïmplanteerd. Het is een prima omgeving voor een paar mailboxen, maar niet als een enterprise oplossing, echter heeft Microsoft het wel zo aan de man gebracht.
Ook de management tools die je erbij krijgt is een groot houtje touwtje geknoei.
Pas de binnenkort komende opvolger lijkt datgene te zijn wat BPOS had moeten zijn.
Krokant @johnkeates22 december 2010 14:38
Wat werkt er niet? Kan je eens concreet zijn?

Het grote struikelblok dat ik tot nu toe tegengekomen ben in grote omgevingen (waar ze heus wel serieus over dit soort oplossingen nadenken) is de integratie met andere, vooral legacy systemen die gebruik maken van mail. Maar blijkbaar kan jij er een heel lijstje van gebreken aan toevoegen?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq