Microsoft verzeichnet mal wieder einen gröberen Security-Vorfall: Experten des Security-Unternehmens SOCRadar haben einen Public Storage Server auf Azure gefunden, der öffentlich zugänglich und nicht passwortgeschützt war. Brisant ist dessen Inhalt: Auf dem Server waren Code, Scripts und Config-Files mit Zugangsdaten, Passwörtern und Keys gespeichert. Diese sollen von Microsoft-Mitarbeitern stammen und für das Login in interne Systeme und Datenbanken dienen, wie "Techcrunch"
berichtet. Das Leck ist mittlerweile geschlossen, die Forscher informierten Microsoft bereits Anfang Februar. Fragwürdig ist neben dem Security-Lapsus selbst die Reaktionszeit von
Microsoft: Laut dem Bericht wurde der Server erst knapp einen Monat später ausreichend gesichert.
Unklar ist, wie lange der Server ungeschützt im Netz zugänglich war oder wie Microsoft mit den potenziell kompromittierten Zugangsdaten umgegangen ist. Das Unternehmen verzichtete auf eine Stellungnahme gegenüber "Techcrunch".
Es handelt sich bei weitem nicht um den einzigen Security-Vorfall bei
Microsoft im vergangenen Jahr: Im März 2024
wurde etwa bekannt, das russische Hacker nicht näher definierten Source Code stehlen konnten, im September 2023 stellte ein Mitarbeiter
versehentlich massenhaft interne Daten online und im Juni 2023 wurde bekannt, dass chinesische Hacker
einen Key entwendeten, der den Kriminellen potenziell Tür und Tor zu verschiedenen Plattformen öffnen könnte. Der letztere Vorfall wurde jüngst von einem staatlichen Cyber Safety Review Board in den USA untersucht, der Bericht spricht dabei von einer "Kaskade von Sicherheitsmängeln bei Microsoft" und einer unzureichenden Security-Kultur in Redmond (
via "Arstechnica").
(win)
