Bijna een maand zijn gegevens van zo’n 250 miljoen Microsoftgebruikers die technische ondersteuning zochten open en bloot op het web toegankelijk geweest. Nadat het bedrijf daar door buitenstaanders op was gewezen was het probleem in 24 uur opgelost. Onduidelijk is of derden in de tussentijd misbruik hebben gemaakt van de ‘openhartigheid’ van Microsoft.
Het lijkt er op of techbedrijven steeds slordiger worden met het digitaal beveiligen van hun producten. Regelmatig komen niet alleen Microsoft maar ook Google en zelfs het ‘hoogstaande’ Apple in het nieuws met veiligheidslekken en andere kwetsbaarheden in toepassingen en/of besturingssystemen.
Wellicht zijn ze de greep op de steeds complexere systemen aan het kwijtraken, maar dat wordt dan weer ‘weersproken’ door het feit dat het probleem in dit geval in 24 uur is opgelost. Het ging hier dan ook niet om besturingssystemen of programma’s, maar het beveiligen van gegevensbestanden. Hoe moeilijk kan dat zijn?
Het vorig jaar is door Microsoft afgesloten met een ernstig veiligheidsprobleem. Op 29 december ontdekte Bob Diachenko en medeonderzoekers van Comparitech dat er iets heftig mis was bij Microsoft. Voor de toegang tot gegevens van 250 miljoen gebruikers van Microsoftproducten die technische ondersteuning zochten/hadden gezocht had je geen enkele toegangscode nodig.
De gegevens stonden onbeschermd op vijf servers van Elasticsearch. Het ging om gegevens van de laatste veertien jaar. Die werden, heel prettig, vanaf 28 december jl. zoekbaar gemaakt door de zoekmachine BinaryEdge. Het gaat e-@dressen, woonplaatsen, de aangekaarte problemen, de oplossingen en vertrouwelijke interne mededelingen. Dat werd de volgende dag ontdekt (dus) door Diachenko en de zijnen.
24 uur
De beveiligingsdeskundige zegt meteen contact te hebben opgenomen met Microsoft, die vrij snel reageerde. Veel persoonlijke informatie was al bewerkt. Volgens Microsoft zou de informatie zelden naar personen kunnen leiden. De slordigheid zou zijn ontstaan door een verandering in de beveiligingsgroep op 5 december.
Niets zou er op wijzen dat er informatie gestolen is, maar mogelijke slachtoffers zouden toch extra oplettend moeten worden. Oplichting via zogenaamde technische ondersteuners is tegenwoordig niet ongewoon. Laat je nooit verleiden verdachte koppelingen aan te klikken of onbekende programmatuur te installeren…
Microsoft trekt het boetekleed aan het zegt dat dit in de toekomst niet meer zal voorkomen, maar als ik een ding geleerd heb op dit terrein is dat het vrijwel zeker weer zal gebeuren en weer en weer. Mensen zijn hardleers en slordig, hoeveel regels je ook maakt.
Bron: Futura-Sciences