Bei einem großen Marktanteil ist es nur natürlich, dass Microsoft erhebliche Datenschutzverletzungen erlitten hat. Hier sind einige der weitreichendsten Hacks.
Microsoft ist seit seiner Gründung zweifellos ein bekannter Name geworden, aber seine Geschichte ist nicht blitzsauber. Im Laufe der Jahre kam es bei Microsoft zu einer langen Liste von Sicherheitsvorfällen, von denen viele Benutzerdaten gefährdeten. Was sind also die größten Microsoft-Hacks des 21. Jahrhunderts? Und braucht dieser Technologieriese mehr Sicherheit?
1. Der Exchange Server-Verstoß 2021
Gleich zu Beginn des Jahres 2021, am 3. Januar, begannen die Server der Exchange-Plattform von Microsoft durch vier Zero-Day-Software-Schwachstellen kompromittiert zu werden.
Erst im März desselben Jahres wurde das Ausmaß des Angriffs deutlich: Über 30.000 in den USA ansässige Organisationen wurden über diese Softwarefehler im Code von Microsoft Exchange angegriffen. Insgesamt wurden über 250.000 einzelne Exchange-Server gehackt, davon 7.000 in Großbritannien. Auch andere Länder, darunter Norwegen und Chile, waren betroffen.
Zu den bei diesem Angriff gestohlenen Daten gehörten E-Mail-Adressen und Passwörter von Serverbenutzern. Darüber hinaus könnten die Angreifer weitere Hintertüren für zukünftige Exploits hinzufügen.
Es dauerte nicht lange, bis Microsoft die notwendigen Patches veröffentlichte, aber dieser Angriff machte deutlich, wie leicht Schwachstellen zu riesigen Hacking-Kampagnen führen können.
2. Das Durchsickern von 250 Millionen Kundendatensätzen
Anfang 2020 wurde festgestellt, dass Microsoft versehentlich über 250 Millionen Kundendaten geleakt hatte. Diese enorme Gefährdung war auf eine Datenbank zurückzuführen, die nicht passwortgeschützt war.
Ein Großteil der offengelegten Daten bestand aus Gesprächen zwischen Benutzern und Kundenbetreuern, die zwischen 2005 und 2019 stattfanden. In bestimmten Fällen wurden jedoch sensiblere Informationen veröffentlicht, darunter IP- und E-Mail-Adressen von Kunden.
Es dauerte nur 24 Stunden, bis Microsoft die Datenbank sicherte, doch zu diesem Zeitpunkt war es bereits zu spät.
3. Das Hotmail-Anmeldedatenleck 2016
Im Mai 2016 begannen zahlreiche Nachrichtenagenturen, über einen großen Hack zu berichten, der zur Offenlegung von Benutzerdaten von Google, Yahoo und Microsoft geführt hatte. Über 270 Millionen Kontodaten wurden gestohlen und auf illegalen russischen Marktplätzen zum Verkauf angeboten. 33 Millionen davon waren Hotmail-Anmeldeinformationen, ein E-Mail-Dienst, den Microsoft 1997 gekauft hatte.
Glücklicherweise verkaufte der Hacker, der ursprünglich im Besitz der Zugangsdaten war, diese getarnt an ein Sicherheitsunternehmen und nicht an eine andere böswillige Person, die sie ausnutzen wollte.
4. Der Lapsu$-Datenverstoß 2022
Im März 2022 bestätigte Microsoft, dass es von einem angegriffen wurde bekannte Hackergruppe mit dem Namen „Lapsu$“. Dieses internationale Hacker-Syndikat hat sich einen Namen gemacht, indem es viele große Namen ins Visier genommen hat, darunter Nvidia und Samsung.
Während Lapsu$ früher Organisationen in Südamerika und im Vereinigten Königreich ins Visier nahm, haben sie seitdem weitere Opfer im Visier, darunter auch solche in den USA. Diese dreiste Hackergruppe richtete ihren Fokus Anfang 2022 auf Microsoft.
In diesem Fall gelang es Lapsu$ (von Microsoft offiziell als „DEV-0537“ bekannt), ein einzelnes Microsoft-Mitarbeiterkonto zu kompromittieren und auf Teile des Bing-, Bing Maps- und Cortana-Quellcodes zuzugreifen.
Die Bestätigung von Microsoft erfolgte, nachdem Lapsu$ diesen gestohlenen Quellcode in einer Torrent-Datei veröffentlicht hatte. Allerdings behauptete Microsoft in einem Blogeintrag bezüglich des Vorfalls, dass der Diebstahl und die Weitergabe des Quellcodes kein Sicherheitsrisiko für das Unternehmen oder seine Benutzer darstellt.
5. Der Zero-Day-Verstoß 2010
Ende 2009 wurde Microsoft auf einen kritischen Fehler aufmerksam Zero-Day-Sicherheitslücke. Das Unternehmen ergriff erst im nächsten Jahr Maßnahmen, als Unternehmen wie Google und Adobe über die Sicherheitslücke ins Visier von Cyberkriminellen gerieten.
Dieser Fehler ermöglichte es böswilligen Akteuren, Malware auf den Geräten der Mitarbeiter von Zielunternehmen bereitzustellen. Die Schadsoftware würde dann ausgenutzt, um auf private Informationen von Google und Gmail zuzugreifen.
Dieser Verstoß ließ Microsoft besonders schlecht dastehen, da das Unternehmen mit der Bereitstellung von Abhilfemaßnahmen umgegangen ist. Erst im Januar 2010, drei Monate nachdem Microsoft von der Sicherheitslücke erfahren hatte, veröffentlichte Microsoft einen Patch. Noch schlimmer ist, dass Microsoft ursprünglich geplant hatte, den Patch einen Monat später, im Februar, zu veröffentlichen.
6. Der Storm0558-Angriff 2023
Im Jahr 2023 wurden rund 25 Organisationen, darunter auch Regierungsbehörden, über zwei Microsoft-Sicherheitslücken angegriffen. Dem in China ansässigen böswilligen Akteur namens Storm0558 ist es gelungen, Daten von Kunden zu stehlen, die Outlook Web Access und Exchange Online verwenden.
Microsoft erklärte dass davon ausgegangen wurde, dass der Bedrohungsakteur Spionageziele hatte. Das Unternehmen bestätigte außerdem, dass der Angreifer einen MSA-Consumer-Signaturschlüssel erworben hatte, um den Angriff durchzuführen.
Laut a Wiz-Untersuchungwaren nicht nur Outlook Web Access und Exchange Online von dem Hack betroffen. Wiz berichtete, dass auch andere Microsoft-Dienste, darunter Teams, OneDrive und SharePoint, mithilfe des kompromittierten MSA-Schlüssels ausgenutzt werden könnten.
Braucht Microsoft mehr Sicherheit?
In puncto Sicherheit ist Microsoft keineswegs lax. Das Unternehmen stellt sicher, dass seine Produkte über ein solides Maß an Benutzerschutz verfügen, einschließlich Zwei-Faktor-Authentifizierung, Verschlüsselung, Anti-Spam-Filter, Firewalls und Anmeldewarnungen.
Das Vorhandensein dieser Funktionen hängt natürlich davon ab, welches Microsoft-Produkt Sie verwenden. Beispielsweise sind Windows-Betriebssysteme standardmäßig mit Antivirensoftware ausgestattet, Outlook jedoch nicht.
Die meisten der oben aufgeführten Angriffe waren das Ergebnis einer Software-Schwachstelle, sodass es den Anschein hat, dass mehr Code-Audits die Lösung für Microsoft sein könnten. Das Unternehmen unterzieht sich bereits Prüfungen, sei es hinsichtlich seiner Software oder seiner Geschäftspraktiken, aber es scheint, dass immer noch eine große Anzahl von Schwachstellen durchs Raster fällt.
Es kann auch sinnvoll sein, Sicherheitspatches zu veröffentlichen, sobald Schwachstellen erkannt werden, selbst wenn die Schwachstelle noch nicht ausgenutzt wurde. Dadurch wird die Möglichkeit ausgeschlossen, dass Microsoft oder seine Benutzer Opfer von Angriffen werden, die durch Software-Exploits verursacht werden.
Diese Praktiken würden jedoch viel Personal und Ressourcen erfordern, da Microsoft heute fast 400 Softwareprodukte auf dem Markt hat.
Microsoft wird niemals immun gegen Hacks sein
Selbst wenn Microsoft seine Sicherheit irgendwie verdoppeln könnte, wäre das Unternehmen dennoch nicht zu 100 Prozent vor Cyberangriffen gefeit. Leider ist kein Softwareprogramm, kein Gerät und keine Komponente völlig sicher vor Ausnutzung auf irgendeine Weise, sei es durch Schwachstellen, Malware oder auf andere Weise.
