Konfigurations-Fehler: Microsoft-Server mit 6,5TB Daten frei im Netz

Die Techniker bei Microsoft haben es interessierten Konkurrenten und anderen ziemlich einfach gemacht, wichtige Daten einzusehen. Ein Server, der zur Bing-Suchmaschine gehört, verteilte durch eine falsche Konfiguration riesige Datenmengen im Netz. Das Backend-System diente offenbar zur Speicherung und Analyse der Suchanfragen. Auf Grundlage solcher Informationen kann dann am Fein-Tuning der Software hinter der Suchmaschine gearbeitet werden. Die Daten bieten natürlich auch einen Einblick in die Funktionsweise des Dienstes und gehören so zu den Geschäftsgeheimnissen hinter der Suchmaschine.

Laut Ata Hakcil, einem Sicherheitsforscher der Firma WizCase, der den Server ohne Zugangsschutz entdeckte, sei es möglich gewesen, hier auf rund 6,5 Terabyte Log-Dateien zuzugreifen. Diese enthielten unter anderem 13 Milliarden Datensätze aus der Bing-Suche. Die Daten waren dabei hochaktuell. Wie Hakcil gegenüber dem US-Magazin ZDNet erklärte, konnte er in seiner Bing-App auf dem Android-Smartphone Suchanfragen durchführen und fand diese dann umgehend in den Logs wieder.

Keine persönlichen Daten

Der Zugriff auf den Server war schätzungsweise eine Woche in der Mitte des aktuellen Monats möglich. Der Sicherheitsforscher meldete seine Entdeckung am 16. September an das Microsoft Security Response Center (MSRC), das umgehend für eine Korrektur sorgte. Fortan wurde man bei einem Versuch, an die Daten zu kommen, wieder nach einem Passwort gefragt.

Microsoft räumte den Vorfall ein und sprach dabei von einer "kleinen Menge an Suchmaschinen-Daten", die dadurch von Unbefugten abgerufen werden konnten. Weitergehende Analysen hätten ergeben, dass niemand in größerem Stil wirklich die verfügbaren Informationen von dem System heruntergeladen hätte. Außerdem seien keine persönlichen Daten von Nutzern auf dem Rechner gespeichert gewesen. Die Datensätze bestanden aus Suchanfragen, Betriebssystem des Clients, wenn möglich dem Standort und darüber hinaus verschiedenen Tokens und Hashes, die Außenstehende nicht ohne weiteres zuordnen können.

Siehe auch:

Sicherheit, Sicherheitslücke, Hacker, Security, Angriff, Hack, Netzwerk, Linux, Virus, Server, Kriminalität, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hacking, Ausfall, System, Hackerangriff, Internetkriminalität, Ddos, Darknet, Hacker Angriffe, Hacker Angriff, Attack, Crash, Ransom, Error, Gehackt, Unix, Admin, Serverfarm, Administrator, Serverrack, Webserver, Rack, Serverausfall, Server Manager