38TB von Microsoft online

Microsoft hat wieder Daten veröffentlicht. Etwas unfreiwillig und über einen Sharing-Link, der etwas zu viel freigab als es Microsoft lieb war. Liegt's nur am Mitarbeiter, der den Freigabelink erstellt hat? Oder vielleicht doch eher an der Sicherheitsarchitektur, die so eine tiefe Freigabe unkontrolliert ermöglicht hat?

Wieder eine Art Datenleck bei Microsoft. Wieder ein Key bzw. Token.

We found a GitHub repository under the Microsoft organization […] and its purpose is to provide open-source code and AI models for image recognition. Readers of the repository were instructed to download the models from an Azure Storage URL.

However, this URL allowed access to more than just open-source models. It was configured to grant permissions on the entire storage account, exposing additional private data by mistake.

This account contained 38TB of additional data — including Microsoft employees’ personal computer backups. The backups contained sensitive personal data, including passwords to Microsoft services, secret keys, and over 30,000 internal Microsoft Teams messages from 359 Microsoft employees.

wiz.io

Wenn selbst Microsoft es nicht auf die Reihe kriegt, seine Daten zu schützen, wieso solltet ihr es dann können? Der Standard schließt seinen Artikel zum Thema mit den Worten

Der Vorfall [ist] eine deutliche Erinnerung daran, dass auch Tech-Giganten nicht vor potenziellen Problemen gefeit sind. Vor allem vor denen nicht, die vor dem Computer sitzen.

Der Standard

Und ich ergänze: Selbst wenn das potenzielle Problem der Mensch vor dem Computer ist, dann gibt es da trotzdem noch einen essentiellen, die Sicherheitsarchitektur und ihre zum User hingewandten Seite herausfordernden Aspekt. Wenn nämlich jemandem, bei dem man davon ausgehen kann, dass er sich auskennt, ein solcher Fehler unbemerkt passieren kann, was soll dann erst passieren, wenn unbedarfte Userinnen und User mit den Freigabesystemen konfrontiert sind und durch zB ihre berufliche Position bedingt Zugang zu hochsensiblen Daten haben?

Gerne wird „die Cloud“ beschuldigt, für solche Datenlecks „verantwortlich“ zu sein. Ich denke allerdings, dass die Cloud alles in allem mehr Schutz bietet als potentielle Sicherheitsrisiken. Vielleicht liege ich da auch komplett falsch, aber ich gehe nach wie vor davon aus, dass Cloud und Cloud-Sharing uns vor USB-Sticks, externen Festplatten und anderen Datenträgern, die von Computer zu Computer, von Kunde zu Kunde, von Arzt zu Patient und sonst wo wandern und Unheil verbreiten würden, bewahrt haben. Und dass die irgendwer ordnungsgemäß verschlüsselt, stelle ich mehr als sehr in Frage!

Mehr zu

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert