Sicherheitsvorfall bei Outlook.com: Hacker hatten auch Zugriff auf Profildaten und Mails

Sicherheitsvorfall bei Outlook.com: Hacker hatten auch Zugriff auf Profildaten und Mails

Zum Wochenende hin hat Microsoft zahlreiche Nutzer von Outlook.com darüber informiert, dass Hacker zwischen Anfang Januar und Ende März über den kompromittierten Zugang eines Support-Mitarbeiters Zugriff auf bestimmte Informationen hatten, darunter Ordnernamen, Betreffzeilen von E-Mails oder die Mailadressen von Kontakten.

Nun zeigt sich offenbar, dass der Vorfall weitaus ernster ist. Die Seite „Motherboard“ berichtet, dass die Hacker auch Zugriff auf die Inhalte von E-Mails und darüber hinaus auf den Kalender sowie auf Profilinformationen wie z.B. das Geburtsdatum hatten. Der Bericht stützt sich auf Screenshots, die Motherboard zugespielt worden. Es heißt, man habe Microsoft mit diesen Screenshots konfrontiert, daraufhin habe das Unternehmen zugegeben, dass es in der Tat Zugriff auf die Inhalte von E-Mails gegeben habe. Dies treffe aber nur auf „sechs Prozent einer kleinen Anzahl von Betroffenen“ zu, und diese habe man auch darüber informiert, dass auf ihre Mails zugegriffen wurde.

Die ersten Berichte zu dem Vorfall stüzen sich auf eine E-Mail von Microsoft an die Betroffenen, nun erfährt man sozusagen über Dritte, dass es auch sehr viel drastischere Fälle gab. Was es momentan noch nicht gibt, ist eine offizielle öffentliche Stellungnahme von Microsoft zu diesem Zwischenfall. Eine solche wäre nun aber dringend angezeigt, und in dieser sollte transparent dargelegt werden, was tatsächlich passiert ist. Jeder halbwegs aufgeklärte Nutzer weiß, dass es keine hundertprozentige Sicherheit gibt und dass derartige Vorfälle niemals ganz ausgeschlossen werden können. Daher kommt es entscheidend darauf an, wie mit solchen Vorfällen umgegangen wird. Meiner Meinung nach schafft es mehr Vertrauen, wenn man schonungslos alle Details offen legt, anstatt scheibchenweise nur so viel zuzugeben wie nötig.

via: MSPU

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als elf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare
  1. Wieso soll Microsoft öffentlich Stellung nehmen, wenn die geschädigten Personen bereits unterrichtet worden sind? Nach meiner Auffassung ist Microsoft seiner Verpflichtung nachgekommen. Die Details zu den geschädigten Personen und ihren persönlichen Daten sind für die Allgemeinheit nicht bestimmt, es nennt sich Privatsphäre.
    Wenn nicht einmal Microsoft seinen Laden dicht halten kann, wie sollen es erst die Behörden können?
    Unsere lieben Ämter arbeiten ja auch mit MS Produkten und sogar meist mit völlig veralteten.
    Ich würde es begrüßen, wenn jemand den Entscheidern der Behörden, die alles und jeden so detailliert wie nur möglich erfassen wollen und alles abspeichern wollen, diese Tatsache unter die Nase reiben. Eventuell ist es doch nicht so clever? Stichwort Krankenakte, Stichwort Fingerabdrücke, Stichwort Steuer u.s.w.
    Die Betroffenen rechtzeitig zu unterrichten und über die Vorkommnisse aufzuklären, ist meiner Meinung nach auch das, was vor allem zählt.
    Würde ich von irgendeinem Anbieter erst durch die Presse erfahren, dass jemand Zugriff auf die Accounts hatte und ich vermutlich ebenfalls betroffen bin, wäre es für mich bei diesem Anbieter komplett vorbei, ganz egal wie ausführlich und detailliert die öffentliche Stellungnahme auch ist.
    Stellungnahme in der Presse und beim nächsten Einloggen ein erzwungenes Ändern des Passworts reicht mir da nicht.
    Ich kann gerne auf eine öffentliche Stellungnahme verzichten, solange ich weiß, dass mich mein Anbieter zeitnah direkt persönlich informiert, welche Daten von mir abgegriffen wurden.
    @KnSN
    Das sind meldepflichtige Datenpannen. Sie helfen anderen Firmen oder Behörden das Risiko einer Wiederholung zu vermindern. Und es ermöglicht ihnen externe Unterstützung zu bekommen, damit sich so etwas nicht wiederholt.
    Sorry, aber die Informationen überzeugen mich nicht. Screenshots sind nicht ausreichend, wenn man nicht weiß, in welchem Zusammenhang die dargestellten Informationen entstanden.
    Bei 90 Tagen Passwort-Wechselzeitraum (bei MS Standard) sprechen wir von einem möglichen Zeitraum von 1.1.19-31.3.19, der tatsächliche dürfte kürzer gewesen sein.
    Bei MS gibt es außerdem darüber hinaus auch für normale Personal Accounts (Office 365) das Vier-Augen-Prinzip, was bedeutet, dass einer allein keinen Zugriff auf die Mails hat.
    Vermutlich zeigen die Screenshots also Bilder der seltenen Fälle, wo der Mitarbeiter mit einer anderen Person zusammen erst Zugriff erlangte. Der Hacker konnte das eventuell beobachten, wäre aber NIEMALS in der Lage gewesen, es selbst nachzubauen.
    Insofern reichen die Screenshots bei weitem NICHT aus, um einen Zugriff nach Gusto (!!!) des Hackers auf Emails zu beweisen!
    Dass es bei Outlook.com einen periodisch erzwungenen Passwortwechsel gibt ist mir neu. Ich musste meine PW überhaupt nur einmal wechseln, das lag aber daran, dass die Sync zw. Kto und Lumia ausgefallen war.
    Diese Salamitaktik....... . Es bestand zu keinem Zeitpunkt...... blablabla. Wiederholung von gestern. Warum soll dieser Laden besser sein als andere?
    Ein Screenshot reicht nicht als Beweis, richtig. Aber Microsoft hat dem Bericht zufolge ja auf Basis der Screenshots eingestanden, dass diese es die Zugriffe tatsächlich gab.
    Grundsätzlich stimmt es natürlich, wenn Microsoft die betroffenen Kunden informiert, dann haben sie damit ihre Pflicht getan. Durch solche Vorfälle wird aber das Vertrauen aller Kunden gefährdet, insofern ist es durchaus ratsam, dass man sich auch offiziell dazu äußert, auch wenn man das aus nachvollziehbaren Gründen natürlich nicht gerne tut.
    Eigentlich teile ich die Meinung von KnSN, trotzdem bleiben noch Fragen offen.
    Wenn ein Konto eines Durchschnittsbenutzers kompromittiert wird, denkt man sich vielleicht, dass Unaufmerksamkeit und / oder Leichtsinn des Users dahinterstecken könnte.
    Bei einem Mitarbeiter von Microsoft glaubt man willkürlich, dass ein Support mit etwas mehr Vorsicht inclusive der Einbeziehung von allen zur Verfügung stehenden Sicherheitsmaßnahmen durchgeführt wird.
    Oder liege ich nun falsch in der Annahme, dass Microsoft Mitarbeiter eine spezielle Schulung erhalten, welche die Sicherheit (in höchster Stufe) miteinschließt, bevor mit Kundendaten gearbeitet werden darf?
    Hmmm... Also sollte man jetzt sein Passwort auch ändern, wenn man keine Mail von Microsoft bekommen hat?
    Bin verunsichert... und irritiert... :(
    Das sind aber herbe Informationen für alle die immer damit argumentiert haben das ihre Daten bei MS sicherer sind als anderswo.
    Wie schoen Sprache & Mathematik doch sein kann: es ist schlichtweg wurscht ob 6% der Betroffenen noch mehr betroffen sind, die Frage ist ob es bei 100% moeglich gewesen waere.
    Anscheinend hat der Angreifer da nicht "wahllos" abgegriffen.
    Das Ganze ist einfach nur peinlich fuer Microsoft und bestaetigt wieder mal den alten c't Witz: die Cloud die Daten klaut...
    Chloe
    Also sollte man jetzt sein Passwort auch ändern, wenn man keine Mail von Microsoft bekommen hat?
    Bin verunsichert... und irritiert... :(

    Dabei ist die Lösung ganz einfach: PW wechseln und die Sache ist in der Hinsicht erledigt (Optional / besser wäre es natürlich auch alle Accountwiederherstellungs- / Zugriffs-Codes neu erstellen zu lassen und die Geheimen Fragen zu wechseln. Kann ja auch alles ggf. abgegriffen worden zu sein.). Ist / solle einem egal ob der Anbieter dazu rät oder nicht.
    Es gibt zwei Möglichkeiten: Fremde haben ggf. das PW oder sie haben es nicht. Wechselt man das PW, so ist man auf jeden Fall auf der sicheren Seite. (Und das gilt nicht nur für den Fall hier sondern, IMMER. Auch wenn ein Dienst ggf. nicht "gehackt" wurde bzw. es vielleicht einfach nur noch nicht gemerkt hat.)
    Ein Screenshot von einem vergangenen Ereignis zu posten ist schnell gemacht. Aus dem Screenshot eine reißerische Story zu stricken ist ebenfalls schnell gemacht.
    Eine Pressemitteilung zu erzeugen ist ebnfalls schnell gemacht.
    Aber den INHALT dieser Meldung zu Recherchieren, dass man generelle Panik vermeidet und dennoch das Problem klar bennen kann, ist ungleich schwieriger. Ich kann mir vorstellen, dass die Hintergrundrecherche, wie das Problem entstand, welche Lücken konkret ausgenutzt wurden (und wie die geschlossen werden können) und wer davon konkret betroffen war, deutlich aufwändiger ist, als ein paar Emails oder eine Story zu schreiben. Wenn es ein gezielter Angriff auf bestimmte Konten war, ist da möglicherweise auch ordentlich Hirnschmalz reingeflossen. Das muss man dann auch erstmal rekonstruieren, bevor man offiziell was vermeldet.
    Aber grundsätzlich haben alleRecht, die sagen: alles was an Daten existiert, ist gefährdet. Die Frage ist nur, wie viel Aufqand der Angreifer betreiben muss. Am sichersten sind immer die Daten, die erst gar nicht existieren.
    KnSN
    Wieso soll Microsoft öffentlich Stellung nehmen, wenn die geschädigten Personen bereits unterrichtet worden sind? Nach meiner Auffassung ist Microsoft seiner Verpflichtung nachgekommen. Die Details zu den geschädigten Personen und ihren persönlichen Daten sind für die Allgemeinheit nicht bestimmt, es nennt sich Privatsphäre.

    Ich bin da anderer Meinung. Mit der Heimlichtuerei schadet sich Microsoft selbst. Bisher war ich der Meinung, dass Supportmitarbeiter keinen direkten Zugriff auf Mails respektive Konten hat. Zumindest im Businessbereich werden sie nicht müde das zu betonen. Daher finde ich die Informationspolitik von MS SEHR ärgerlich. Wir sind MS Partner und es prasselten heute natürlich Anfragen auf uns ein. Auch via Partnersupport erhält man keinerlei infos zu dem Fall...
    Das ist für uns mit viel Aufwand und Ärger verbunden - bezahlt einem natürlich niemand.
    // ich spreche hier nur vom direkten Aufwand, den uns diese "News" bescheren. Vom allfälligen Vertrauensverlust in O365 sprechen wir ja noch gar nicht... Nervig ist halt auch, das Naming von MS: hätten sie die Office 365 Home/Personal irgendwie anders benannt, wäre es auch einfacher den Kunden klarzumachen, dass das komplett andere Produkte sind wie Business/Enterprise - respektive es wäre weniger Überzeugungsarbeit nötig... :rolleyes:
    Gruss
    Warum soll dieser Laden besser sein als andere?

    Was sollen immer diesen Fragen, niemand hat hier behauptet, dass Microsoft besser sei als anderen Firmen. Und wenn du keine Lust auf Microsoftprodukte hast, dann geh zu einem anderen Anbieter, es zwingt dich ja niemand.
    Außerdem, woher willst du wissen, ob wirklich die Möglichkeit bestand, dass bei vielen Nutzern persönliche Daten einsehbar waren ?
    adf
    Ich bin da anderer Meinung. Mit der Heimlichtuerei schadet sich Microsoft selbst. Bisher war ich der Meinung, dass Supportmitarbeiter keinen direkten Zugriff auf Mails respektive Konten hat. Zumindest im Businessbereich werden sie nicht müde das zu betonen.

    Das ist auch so. Bei den Business-Kunden hat der Support erst dann Zugriff, wenn der Kunde das autorisiert hat. Bei den Consumer-Konten gibt es diese zusätzliche Schutz-Stufe nicht. Irgendwo muss der Unterschied ja sein, für den man Geld bezahlt.
    Es ist also noch wie bisher: Erst wenn MS mit dem Rücken an der Wand steht, rücken sie mit der Wahrheit heraus.
    Und ob das alles ist, zeigt sich noch. Alle Welt guckt auf MS und analysiert ihr Tun. Die glauben, sie könnten sich verstecken?
    Jetzt kann sich das jeder noch schön reden, wenn er will.
    Nun Martin, dass nun ausgerechnet Sicherheitsfunktionen das Unterscheidungskriterium sein müssen, ist schon fraglich. Und was ist mit den Consumern, die für Ihre Dienste auch bezahlen?
    Was mich ja interessieren würde, ob es auch bei den Konten mit einer Zwei-Faktor-Authentisierung einen Zugriff gegeben hat ??
    Bei den Business-Kunden hat der Support erst dann Zugriff, wenn der Kunde das autorisiert hat.

    Wie erfolgt diese Autorisierung?
    collo113
    Was mich ja interessieren würde, ob es auch bei den Konten mit einer Zwei-Faktor-Authentisierung einen Zugriff gegeben hat ??

    Es geht ja nicht darum, dass sich jemand mit deinen Benutzerdaten eingeloggt hat, dazu bedarf es ja E-Mail-Adresse und Passwort. Es geht darum, dass die Benutzerdaten eines Microsoft-Mitarbeiters verwendet wurde, um auf Kundendaten zuzugreifen. Die da wären E-Mail-Adresse, E-Mail-Header, Kontaktadressen, und wohl auch Kalenderdaten.
    Danke für diese Info am Rande:
    Martin
    Das ist auch so. Bei den Business-Kunden hat der Support erst dann Zugriff, wenn der Kunde das autorisiert hat. Bei den Consumer-Konten gibt es diese zusätzliche Schutz-Stufe nicht. Irgendwo muss der Unterschied ja sein, für den man Geld bezahlt.

    Schön, dass man mal klipp und klar lesen kann, worauf Zugriff besteht, und worauf nicht. Dennoch wundert es mich, dass da bei Microsoft nicht ein weiterer Schutzmechanismus greift. Es wurde ja schon angesprochen, dass so etwas wohl leicht mit einer Zwei-Faktor-Authorisation für den MS-Mitarbeiter möglich wäre. Manchmal frage ich mich echt, was die in Redmond rauchen, dass die eine Kompromittierung so leicht möglich machen. Naja, man kennt das ja teilweise aus Büros, dass die Login-Daten da als Zettel am Monitor hängen. ;) Dennoch sollte es selbst dann nicht so einfach sein. Man kann halt einfach nicht auf das Sicherheitsbewusstsein der Mitarbeiter bauen.
    carp
    Wie erfolgt diese Autorisierung?

    Ich vermute einmal über eine PIN die an eine, vorher festgelegten, E-Mailadresse*/Telefonnummer gesendet wird.
    *muss in der Regel eine ext Adresse sein.
    So zumindest ist es bei mir, nicht outlook.com. Der Supportmitarbeiter holt sich die Legitimation durch eine PIN, die ich ihn nenne.
    Ich vermute einmal über eine PIN die an eine, vorher festgelegten, E-Mailadresse*/Telefonnummer gesendet wird.

    Keine Ahnung, ob es das gleiche ist.
    Aber sobald ich mich bei live.com anmelden möchte, muss ich erst mit einer PIN, die ich per Mail bekomme, mich autorisieren.
    Ich habe aber gar kein Business Konto :grübel
    Das ist die angesprochene Zwei-Faktor-Anmeldung. Ich weiß nicht, wie das bei Microsoft geht, aber, bei anderen geht das entweder per Mail, oder bei manchen auch über SMS auf das Handy/Smartphone.
    P.S.: Ich sehe gerade, das läuft bei Microsoft per Authentificator App. Warum du eine PIN per Mail bekommst, ist mir ehrlich gesagt ein Rätsel. Das gab's bei mir noch nie. Benutzt du einen VPN oder sowas? Das wäre das einzige, was mir jetzt einfiele, dass Microsoft dauernd glaubt, das wären komische Logins.
    Ich hab's mir gestern schon gedacht, dass da mehr an der Sache hängt.
    Für mich ist es eindeutig, dass dort diverse Microsoftserver angegriffen wurden. Das kann doch anders gar nicht sein.
    Man muss aber Verständnis dafür haben, dass nicht gleich alle Details veröffentlicht wurden.
    Das Prüfen der Sachlage dauert ja auch eine bestimmte Zeit und man kann erst raus mit der Sprache, wenn Gewissheit herrscht.
    Ich bekam (zum Glück) bis dato keine entsprechende Mail von MS. Kann aber noch kommen.
    Sonnschein
    Keine Ahnung, ob es das gleiche ist.
    Aber sobald ich mich bei live.com anmelden möchte, muss ich erst mit einer PIN, die ich per Mail bekomme, mich autorisieren.
    Ich habe aber gar kein Business Konto :grübel

    Nein, das ist die zwei Faktor. In meinem Beispiel gibt man dem Support die PIN mündlich weiter damit er sich mit dieser einloggen kann bzw. Zugang zu dritten Nutzerkonten erhält kann. Man könnte es als ein 1mal Masterpasswort betrachten wobei das natürlich nicht korrekt ist.
    Die Telekom macht das auch so. Selbst im T-Punkt schicken sie dir eine PIN auf das Handy. Das ist eine Hürde, die Unternehmen anwenden damit Mitarbeiter auf unterer Serviceebene nicht Amok laufen o.ä.
    Auf höherer Sicherheitsebene haben Mitarbeiter oftmals mehr Rechte.
    chakko
    Warum du eine PIN per Mail bekommst, ist mir ehrlich gesagt ein Rätsel. Das gab's bei mir noch nie. Benutzt du einen VPN oder sowas? Das wäre das einzige, was mir jetzt einfiele, dass Microsoft dauernd glaubt, das wären komische Logins.

    Es könnte daran liegen, das ich den Firefox mit uBlock Origin und CanvasBlocker (Fingerprinting blocker) benutze. Zudem wird nach dem schließen vom Firefox der komplette Cache (Cookies, Website-Daten u.s.w.) gelöscht. Also alles, was ich in der Sitzung gemacht habe, wird zurückgesetzt.
    Das wird's sein. Microsoft's System denkt dann wahrscheinlich immer, dass das ein verdächtiges Login ist, und verlangt einen zusätzlichen Schritt. (Bei mir kommt sowas nie)
    Dafür musst du dann aber zumindest eine andere E-Mail-Adresse angegeben haben, vielleicht die zur Kontowiederherstellung.
    Sonnschein
    Es könnte daran liegen, das ich den Firefox mit uBlock Origin und CanvasBlocker (Fingerprinting blocker) benutze. Zudem wird nach dem schließen vom Firefox der komplette Cache (Cookies, Website-Daten u.s.w.) gelöscht. Also alles, was ich in der Sitzung gemacht habe, wird zurückgesetzt.
    Das liegt weder an uBlock noch an CanvasBlocker. Die benutzte ich nämlich auch und bei mir wird nach Aktivieren der entsprechenden Funktion kein zweiter Faktor in den betreffenden Firefox verlangt. Es wird vermutlich an den gelöschten Cookies liegen, denn anders kann Microsoft den Browser nicht identifizieren.
    Wenn keine Authenticator-App hinterlegt ist, ist natürlich als zweiter Faktor nur Code per SMS oder E-Mail möglich.
    Mich würde interessieren ob die Konten auch über Outlook.com hinaus einzusehen waren und damit auch Zahlungsinformationen Dritten in die Hände gefallen sind? Es ist zwar immer nur die Rede von Outlook.com, aber dafür gibt es kein separates Passwort. Müsste es nicht daher eigentlich heißen, das möglicherweise eine Kompromittierung des Microsoftskontos stattgefunden hat?
    Wo kann ich das Passwort ändern?
    Nutze privat nicht die Homepage von Outlook.com. Nur die Mail App von Windows hin und wieder. Locke mich nur im Notebook ein, wenn ich es einschalte.
    Store nutze ich auch nicht mehr.
    Oder muss/brauche ich das dann nicht ändern?
    Dazu musst du in deinen Microsoft-Account gehen. Hier kannst du dann das Passwort ändern: https://account.microsoft.com/security
    Wobei ich das nicht für nötig halte, aber, du musst das wissen.
Nach oben