„Bei Microsoft schätzen, schützen und verteidigen wir den Datenschutz.“
(https://privacy.microsoft.com/de-de/privacy-report)
So beginnt der Privacy Report Oktober 2022
Na ja – wenn ich mir den aktuellen Stand der Aufarbeitung von BlueBleed so anschaue, kommen mir daran ernsthaft Zweifel.
Aber fangen wir am Anfang an.
In meinem letzten Blogbeitrag hatte ich den aktuellen Stand zum BlueBleed Vorfall geteilt.
(https://www.crc-pfalz.de/allgemein/bluebleed-microsoft-data-breach/)
Nach und nach kamen nun weitere Informationen an’s Tageslicht, die ich nachschieben möchte.
Wie wurden „Betroffene“ informiert?
Ich hatte schon darauf angesprochen, dass ich keine aktive Benachrichtigung erhalten hatte.
Das erklärt sich, weil diese recht versteckt und nur unter bestimmen Voraussetzungen auffindbar ist.
Der Einstieg erfolgt über „admin.microsoft.com“ – Das „Microsoft 365 admin center“.
Schon das ist seltsam, weil der Vorfall gar nicht im M365 Umfeld sondern in der Azure Cloud seine Wurzeln hat.
Dort siehst du links die Navigation – mit „Show all“ kommt man zum vollständigen Menü.
Das war die erste Hürde.
Dann musst du zu der Option „Health“ –„Message Center“ gehen.
Wer hier nicht so oft unterwegs ist, der wird das eher nicht vermuten.
Im Message Center gibt es sicher mehr als 100 Items – wonach suchen wir nun? BlueBleed?
Nein – so einfach geht das nicht. Der schnellste Weg führt über den „Tag: Data Privacy“.
Allerdings nur, wenn du auch wirklich alle Rechte und Rollen dafür hast. Wenn nicht, fehlt dieser Auswahlpunkt vielleicht.
Jetzt finde ich die „Benachrichtigung“ unter dem Begriff
„Investigation Regarding Misconfigured Microsoft Storage Location
MC442057 · Published 4. Okt. 2022
Die MC442057 bzw. die bei dir angezeigte Nummer brauchst du für den nächsten Schritt
Bin ich betroffen?
Wenn du diese Meldung bekommen hast, dann ja, sonst „vielleicht“.
Ich rate dir auf jeden Fall die Gegenprobe über SocRadar zu machen.
(https://socradar.io/labs/bluebleed)
Hast du die Meldung bekommen, dann wird die MC-Nummer wichtig:
- MC442057: Microsoft indicates that they are unable to provide you with detailed information.
- MC442048: Microsoft has potentially provided you with a copy of your data.
Wenn du also der „48-er Typ“ bist, dann hast du angeblich schon eine Kopie der Daten bekommen. Dieses Glück hatte ich nicht.
Obwohl etwas später am 28. Oktober dann eine weitere Info nachgeschoben wurde:
Supplementary Notification Regarding MC442057
MC451892 · Published 28. Okt. 2022
Darin angeblich eine Liste mit E-Mail Adressen, die betroffen sind. Die war aber leer ???
Am 30.10. kam dann eine Info dazu:
Unable to see email addresses or user GUIDs in MC451892.
Diese Meldung kam direkt als Mail – ich habe den Eintrag im Message Center dazu bisher nicht gefunden.
Aber dort teilt mir Microsoft mit:
Root cause: A recent change was preventing some customers from seeing email addresses or user GUIDs in MC451892.
Also gut – nach dem Fix sehe ich dann tatsächlich ein paar Mail Adressen und GUID’s.
Alle mehr oder minder uralt – eine bezieht sich auf eine Person, die ich nicht kenne.
Wie geht es für dich weiter?
Grundsätzlich solltest du selbst in SocRadar zusätzlich prüfen und wenn es einen Hinweis darauf gibt, dass dein Unternehmen betroffen ist, müssen die notwendigen Aktionen geplant werden.
Ich habe schon einige „Schnipsel“ gefunden, die mir Hinweise auf die konkreten Inhalte der Daten geben.
Ich komme nun zu einem einfachen Ergebnis und das solltest du bei deinen nächsten Schritten berücksichtigen.
GDPR / Privacy / Datenschutz
Ich hatte es schon vermutet aber es verdichtet sich der Verdacht, dass wir hier keinen großen „Datenschutzvorfall“ haben.
Mail-Adressen – und dann noch von nicht mehr existierenden Personen – sind zwar schützenswert, aber hier sehe ich einen überschaubaren Impact mit relativ geringen Auswirkungen.
ISO 27001 / BSI Grundschutz / Kritis / Informationsschutz
In diesem Bereich haben wir einen viel größeren Impact und ein höheres Risiko.
Aus den mir vorliegenden Daten kann ich erkennen, mit welchen Kunden Microsoft und CSP’s arbeiten.
Bechtle zum Beispiel – also ein namhafter CSP – hat gleich 6 Findings. In einem klitzekleinen Ausschnitt aus den Daten!
- 129374 | NCS_CAS-17314-S9J0B4_West Par_Bechtle.docx
- 121884 | NCS_814336_Waagner _Bechtle .docx
- 129374 | SOW_CAS-17314-S9J0B4_West Par_Bechtle.docx
- 128849 | SOW_CAS-09561-H0J2K2_Raiffeis_Bechtle.docx
- 121884 | POE_814336_Waagner _Bechtle.docx
- 118404 | SOW_25274_BOA Balg- und Kompensatoren-Technologie GmbH_BECHTLE LOGISTIK+SERVICE GMBH_FY16AO.docx
Weiter finde ich 43 Hinweise auf „Bankkunden“ wie z.B.:
- National Bank of Belarus
- Bank of Qatar
- National Bank of Egypt
- Valley National Bank
- Arab African Interneational Bank
- National Bank of Pakistan
Hmhhhhh – ob da auch welche dabei sind, die Handelsbeschränkungen unterliegen?
Das wird sicher schon jemand bei den amerikanischen Behörden prüfen.
Die Liste kann man weiter fortsetzen und Firmen rund um „Airport“, „Telecommunications“, „Police“ oder andere Suchbegriffe zu finden. Einige Davon definitiv KRITIS.
Es gibt einige .msg Dateien (also eine Mail Kommunikation in der natürlich auch Dateianhänge sein können, .docx Dateien (also Textverarbeitung) aber auch Backupkopien von Datenbanken.
Und einen Hinweis, mit dem man sich auf die Suche nach weiteren Kopien der Daten machen kann:
https://olyympusv2.blob.core.windows.net
Deshalb auch der Titel für diesen Blogbeitrag.
Olyympusv2 ist ein Schlüsselwort welches dem geeigneten Angreifer hilft, sich die Daten vollständig zu beschaffen.
Fazit
Wir sollten diesen Vorfall weniger mit der Datenschutzbrille als mit der Informationsschutzbrille betrachten.
Wenn da wirklich ein paar E-Mail Adressen enthalten sind, dann ist der Schaden mit Bezug zu personenbezogenen Daten aus meiner Sicht eher unbedeutend.
Nehmen wir aber die Informationen, die sich direkt oder indirekt aus den mir vorliegenden „Schnipseln“ ergeben, dann haben wir es mit einem absolut unkalkulierbaren Fundus an Angriffsmöglichkeiten zu tun.
Anders als beim Datenschutz muss Microsoft hier nichts offenlegen – und man wird wohl auch in dieser Richtung wenig tun.
Wenn man nun den Kunden ein paar E-Mail Adressen gibt, dann scheint es sich zunächst um einen guten Ansatz zu halten. Sicher ja, für alle Datenschützer.
Mir als CISO allerdings ist das zu wenig.
- Wer kann sagen, dass in den Daten keine Schwachstellenanalysen von KRITIS Unternehmen zu finden sind?
- Was, wenn sich noch andere interne Informationen über Technik, Sicherheit oder Anwendungen finden lassen.
Wahrscheinlich werden wir alle nie wirklich erfahren, welche Risiken der Informationssicherheit durch „BlueBleed“ entstanden sind.
Bis zu dem Moment, an dem die Angreifer bei uns an die Tür geklopft haben.
Bleibt wachsam …