BlueBleed – Microsoft data breach

Hast du schon davon gehört? Es gibt eine Datenpanne bei Microsoft.

Offensichtlich wird dazu aber wenig kommuniziert. Selbst bei „heise security“ finde ich zum Begriff „BlueBleed“ nichts.

So war ich tatsächlich auch erst einmal überrascht, als einer meiner Kunden danach fragte, ob er betroffen sei.

Eine Sicherheitslücke eines von Microsoft fehlerhaft konfigurierten Azure-Servers ermöglichte es einer Sicherheitsfirma auf 2,4 Terabyte sensibler Kundendaten, darunter mehr als 300.000 E-Mails und zahlreiche geschäftliche B2B-Transaktionsdaten, von über 65.000 Geschäftskunden aus 111 Ländern ungehindert zuzugreifen.
(https://www.computerbase.de/2022-10/microsoft-datenschutz-kundendaten-65000-unternehmen/)

Erkannt wurde das Problem offensichtlich vom Sicherheitsunternehmen „SOCRadar“. Dort kann man auch prüfen, ob man betroffen ist.
(https://socradar.io/labs/bluebleed)

Sowohl mein Kunde als auch mein Unternehmen sind offensichtlich „[DETECTED]“. Allerdings kann ich nicht sehen, um welche Daten es sich handelt weil:

Upon Microsoft’s request, we temporarily suspended any Bluebleed queries in our Threat Hunting Module. All other search queries are still available. We will re-review Microsoft’s request and reconfigure Bluebleed query results if necessary. If you see your company domain name as [ DETECTED ], please contact MSRC to get more information about your case.

Das ist doch super – der Verweis auf MSRC, das „Microsoft Security Response Center“ bringt nicht wirklich viel Licht in die Dunkelheit.

Das liegt vielleicht daran, dass Microsoft im MSRC-Blog den Begriff „BlueBleed“ gar nicht verwendet.
(https://msrc-blog.microsoft.com/2022/10/19/investigation-regarding-misconfigured-microsoft-storage-location-2/)

Am Ende dann die Aussage, die mich verwundert:

We have focused our attention on directly notifying impacted customers and provided them with instructions for contacting Microsoft with questions or concerns. If you did not receive a Message Center communication, our investigation did not identify an impact to you or your organization. 

Ich verstehen das so: betroffene Unternehmen wurden über das „Message Center“ informiert. Wer nicht informiert wurde ist nicht betroffen.

Also schauen wir doch einmal unter „admin.microsoft.com“ nach, ob wir das etwas finden. Immerhin ist ja mein Unternehmen laut SOCRadar betroffen.

Mich erwarten 429 Items. Wow – wonach suche ich denn jetzt?

Also – ich finde zumindest keinen Hinweis auf eine Nachricht von Microsoft zu diesem Vorfall.

Ja was nun? Bin ich betroffen oder nicht?

Wurden Daten kompromittiert die vielleicht auch in die Rubrik „personenbezogene Daten“ fallen könnten, z.B. E-Mail Adressen?

Dann müsste ich binnen 72 Stunden eine Meldung machen, was ich nicht kann, weil ich keine Informationen habe.

Microsoft sagt dazu in seinem eigenen Bolg-Beitrag auch klar und deutlich:

Our in-depth investigation and analysis of the data set shows duplicate information, with multiple references to the same emails, projects, and users.
(https://msrc-blog.microsoft.com/2022/10/19/investigation-regarding-misconfigured-microsoft-storage-location-2/)

Eigentlich wollte man damit sagen, dass die Angaben von SOCRadar bezüglich dem Umfang und der Menge der Daten deutlich überzogen sind:

we first want to note that SOCRadar has greatly exaggerated the scope of this issue.

Indirekt gibt man aber zu, dass hier der Inhalt von E-Mails und Projekten betroffen ist.
Daten also, die definitiv einen Informationssicherheitsvorfall begründen.

Aktuell habe ich leider auch nicht mehr Informationen als das, was ich im Internet dazu finde.

Seit gestern läuft offiziell ein Ticket bei Microsoft wegen der Anfrage meines Kunden.

Klar ist aber, dass ich mir bei einem derartigen Vorfall wesentlich mehr Unterstützung seitens Microsoft wünschen würde.

–> Wir sollten wirklich alle verstehen, dass es in einer Zeit, in der es in den Unternehmen ein verstärktes Bewusstsein für Informationssicherheit und Datenschutz gibt, sehr auf die Kooperation der Beteiligten ankommt.

Einmal abgesehen davon, dass es Verträge gibt, in der wir uns verpflichten im Falle von „Vorfällen“ diese aktiv den Kunden zu melden.

Let’s wait and see…