Autor Thema: Micosoft Datengau mit Callcenterdaten  (Gelesen 201 mal)

Kuddel

  • Hero Member
  • *****
  • Beiträge: 14782
  • Fischkopp
Micosoft Datengau mit Callcenterdaten
« am: 20:55:00 Di. 28.Januar 2020 »
Zitat
Microsoft legt 250 Millionen Call-Center-Aufzeichnungen in Datenschutz-GAU offen

Microsoft hat Ende letzten Jahres kurzzeitig Call-Center-Daten von fast 250 Millionen Kunden über mehrere ungesicherte Cloud-Server preisgegeben, so die Forscher.

Bob Diachenko entdeckte das große Fiasko beim Datenschutz einen Tag nach der Inventarisierung der Datenbanken von fünf Elasticsearch-Servern durch die Suchmaschine BinaryEdge am 28. Dezember.

Jede dieser Datenbanken enthielt einen scheinbar identischen Fundus von Microsoft Customer Service and Support (CSS) Datensätzen, die sich über einen Zeitraum von 14 Jahren erstreckten. Die Aufzeichnungen enthielten Telefongespräche zwischen Kundendienstmitarbeitern und Kunden aus dem Jahr 2005, die laut Comparitech alle kennwortfrei und völlig ungeschützt waren.

Die meisten persönlich identifizierbaren Informationen (PII) wurden aus den Aufzeichnungen herausgenommen, aber "viele" enthielten offenbar E-Mail- und IP-Adressen von Kunden, E-Mails von Support-Agenten sowie interne Notizen und Beschreibungen von CSS-Fällen.

Dies stellte nicht nur ein Phishing-Risiko dar, sondern eine wertvolle Datensammlung für Betrüger des technischen Supports, die sich als Call-Center-Agenten von Microsoft und anderen Unternehmen ausgeben, um Malware auf den Computern der Opfer zu installieren und Finanzdaten zu stehlen.

"Mit detaillierten Protokollen und Fallinformationen in der Hand haben Betrüger eine bessere Chance, gegen ihre Ziele erfolgreich zu sein", erklärte Paul Bischoff von Comparitech.

"Wenn Betrüger die Daten vor der Sicherung erhalten haben, können sie diese ausnutzen, indem sie sich als ein echter Microsoft-Mitarbeiter ausgeben und sich auf eine echte Fallnummer beziehen. Von dort aus könnten sie nach vertraulichen Informationen fischen oder Benutzergeräte kapern."

Microsoft wurde jedoch dafür gelobt, dass es schnell gehandelt hat, um die exponierten Server zu sperren.

Nachdem Diachenko die Firma am 29. Dezember informiert hatte, hatte sie bis zum 31. Dezember alle Daten gesichert.

Microsoft ist nur das jüngste in einer langen Reihe von Unternehmen, die sensible Verbraucherdaten durch Fehlkonfigurationen in der Wolke offengelegt haben.

Dazu gehören Choice Hotels, Honda North America, Adobe und Dow Jones.

Manchmal kommen die Lecks von mutmaßlichen Cyber-Kriminellen. Im Dezember wurden über eine Milliarde E-Mail- und Passwort-Kombinationen über eine ungesicherte Elasticsearch-Datenbank aufgedeckt, wobei viele davon aus einer früheren Attacke aus dem Jahr 2017 stammen.
https://www.infosecurity-magazine.com/news/microsoft-exposes-250-million-call/