Schwerwiegenden Fehler zugegeben

Alarm bei Microsoft – 250 Millionen Kundendaten gelangten ins Internet

Microsoft-HQ Frankreich
Riesige Unternehmen wie Microsoft sollten Kundendaten sehr ernst nehmen – doch immer wieder werden peinliche Fehler gemacht
Foto: Getty Images

Eigentlich sollten personenbezogene Daten bei Microsoft sicher sein. Doch jetzt muss das Unternehmen zugeben, dass es aus Versehen eine Viertelmillion Kundendatensätze ins Internet geleakt hat.

Kurz vor Neujahr ist Microsoft eine riesige Datenpanne passiert. Etwa 250 Millionen Datensätze von Nutzern, die Hilfsanfragen beim Microsoft-Support gestellt hatten, waren plötzlich für alle im Internet einsehbar.

Persönliche Daten aus 14 Jahren einfach öffentlich sichtbar

Betroffen sind personenbezogene Support-Anfragen, die aus dem Zeitraum zwischen 2005 bis Dezember 2019 stammen. Die Datensätze waren für etwa zwei Tage über jeden beliebigen Internet-Browser aufrufbar, bevor das Leck von den Sicherheitsforschern von Comparitech entdeckt und an Microsoft gemeldet wurde.

Die Datenbanken, die normalerweise für normale Suchmaschinen nicht sichtbar sein sollten, wurden am 28. Dezember von der Datenleck-Suchmaschine BinaryEdge entdeckt und indiziert. Nur einen Tag später meldete Comparitech den Vorfall an Microsoft, das zwischen 30. und 31. Dezember die Serverdaten sicherte.

Geleakte Daten können leicht missbraucht werden

Die Datensätze zu den Support-Anfragen enthalten unter anderem:

  • Email-Adressen des Kunden und des Microsoft-Support-Bearbeiters
  • IP-Adressen und Standortdaten
  • Beschreibungen der Support-Anfragen
  • Zusatzinformationen zu den Anfragen, wie Ticket-Nummer, Lösungen und Bemerkungen
  • Als „vertraulich“ gekennzeichnete Notizen

Auch interessant: Hacker stellt über 500.000 geknackte Passwörter ins Netz!

Zwar war der Großteil der Informationen unkenntlich gemacht. Dennoch können vor allem Betrüger, die solche Informationen für Phishing mit gefälschten Tech-Support-Mails oder -Anrufe nutzen, auch damit viel Unheil anrichten. Detaillierte Daten und passende Emailadressen verleihen solchen Betrüger mehr Glaubwürdigkeit und macht es ihnen somit einfacher, an noch sensiblere Daten zu gelangen.