Három hónapon keresztül fértek hozzá illetéktelenek Microsoft által kezelt e-mail fiókok adataihoz

 ( trey | 2019. április 14., vasárnap - 15:42 )

Részletek az érintett fiókok tulajdonosait értesítő Microsoft-levélben.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

gelei sem jött szerecsent mosdatni?
már neki is ciki?

Mert ez nyilván úgy működik, hogy egész nap nyitva van a hup, és nyomkodom az F5-öt, nem? :)

Érdekelne esetleg a hup alert rendszer, ami automatikusan ticketet nyit az ilyen P1 szituációkban, Cortana-val pedig felolvassa? :)

Marci egyszer csinalt valami HUP appot WP-re, abba be lehetne epiteni. :)

Csak ettől nem lesz kevesebb vérciki microfost biztonsági incidens

Igazad van!

Szánalmas bakikba keveredő Microsoftot már a legelkötelezettebb felszopói sem tudják és akarják kimosdatni.

Értem.

A helyes önismeret az első lépés.

Észben tartom majd.

Azt lehet tudni, hogy ha egy üzleti partner lett érintett? Valahogy le lehet kérdezni egy konkrét tartomány érintettségét?

Asszongyák az enterspájz érintetlen. :)

Ki az enerprájz? Tudom, egy űrhajó a mesében amit én is nézek.

Az MSDN előfizetéssel O365-ben futó informatikai vállalat is az?

15 éve ugyanígy olvasom a gmailt.
Hol itt a probléma?
Ki az a bottal ütött aki egy fontosabb infót kitol a netre?

"Ki az a bottal ütött aki egy fontosabb infót kitol a netre?"
Ugyanaz, aki MS termeket hasznal (es nem MS-porszivot).

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

> Ki az a bottal ütött aki egy fontosabb infót kitol a netre?

Chelsea Manning, Edward Snowden, Julian Assange és további 871 felhasználó kedveli ezt. :D

- - -
TransferWise

Például az aki használja az emailt valamire és általában a számítógépét. Netán azzal keresi pénzét aminek része az email kommunikáció is és nem öncélból játszadozik nagyon-szekjúr OpenBSD-vel heti 50 órát 5% alatti produktivitással.
De ez utóbbival sincs semmi gond ha gazdag szülők vagy milliárdos családból származó feleség fizeti a megélhetést. :)

Kíváncsi lennék a kapcsolatra a support agent-jük credentials-je és a hosztolt customer user mailbox-ok között. :O

+1

Az ugye megvan, hogy pont a levelek szövegéhez és csatolmányaihoz nem volt hozzáférése a support accountnak? Biztonsági okokból.
Csak a levél tárgyát és a contact-okat látta, mert csak ennyire volt szüksége.
Az, hogy ellopták a bejelentkezési adatait a supportos usertől, az rá nézve gáz, de maga a rendszer ennyi infó szerint kimondottan jól volt megtervezve, nem arról van szó, hogy a supportos full access-t kapott a user postafiókján, csak ahhoz fért hozzá, amihez szüksége volt.

En tovabbra sem latom, hogy miert kellett ezekhez by default jogosultsagot delegalni a teljes organizacioban, illetve ezzel az is legalabb reszben megdolt, hogy ezeket a support elott is teljesen titkositva taroljak.

Radasul az elvileg fejlett behatolaserzekeles a tamadast 3 honapon keresztul nem vette eszre.

Én inkább azt kérdezném, hogy nincsen napló arról, hogy kinek nézett bele a fiókjába és pontosan mit nézett meg?

Egyébként már semmin sem lepődök meg. Nem írok cégnevet, sőt még nagyságot se, mert kiderülne kiről van szó. Szóval egy távoli országban egy (AI) kutatás eredményét prezentáló kollágától előadása után megkérdeztem vacsora közben, hogy mégis honnan voltak ilyen részletes adatai: hát hozzáférek a felhasználók üzeneteihez. Dehát hogyan - kérdeztem. A válasz az volt: mert ott dolgozom. Megkérdeztem mégegyszer, de egyszerűen nem értette, hogy mi ezzel a probléma..

sokszor szembesultem mar azzal, hogy az uzlet elorebb van a biztonsagnal. ;)
Szoval nincs min csodalkozni.

Én meg azt kérdezném, hogy ha nincsen napló arról, hogy kinek néztek bele a fiókjába, akkor hogyan tudták szelektiven csak az érintetteket értesiteni? :)

De szerintem felesleges ezt tovább ragozni, ennyi az információ, továbbiakban csak mindenki a saját szája ize szerint tud elméleteket gyártani.

Várj, akkor ez szelektív volt, tehát ilyen sok ember _ténylegesen_ érintett?

Mennyi ember érintett _ténylegesen_?
Nekem több fiókom is van, egyikre sem kaptam értesitőt.

Hát annyi, hogy megütötte a sajtó ingerküszöbét +
"Our notification to the majority of those impacted noted that bad actors would not have had unauthorized access to the content of e-mails or attachments”
“A small group (~6 percent of the original, already limited subset of consumers) was notified that the bad actors could have had unauthorized access to the content of their email accounts, and was provided with additional guidance and support.”
és a legaggasztóbb -> "Microsoft is still refusing to reveal how many accounts were affected."

Ez két dolgot jelenthet: sok fiókról van szó és/vagy nem tudják pontosan hány fiókról van szó.
Hiszen PR szempontjából ha kevés fiókról lenne szó, akkor azonnal érdemes lenne közölni a számot.

Neked mi számitana kevés fióknak ami PR szempontból jól mutatna?
Hogy kontextusba tegyük, talán 1 milliárd fiókot kezelnek, aminek a fele aktiv. Hány százalék nézne ki jól szerinted PR szempontból?

De örülök, hogy naplózáson túljutottunk :)

A sajtó ingerküszöbével meg ne vicceljünk már, ha 3 ember kapott volna ilyen értesitőt az 1 milliárdból, akkor is benne lenne a hirekben.

Ennyi fióknál 0.1% is kb. PR katasztrófa.

Szerintem is.

Honnan tudod, hogy a support mely része kapott ilyen jogosultságot?
Honnan tudod, hogy mennyi adatot töltöttek le, hogy mondjuk a behatolásérzékelés észrevegye? (tehát mondjuk korábban napi 20 user mailboxában supportált az illető a munkájából kifolyólag, most meg mondjuk napi 5000-ben)

Mivel gondolom neked sincs halovány fogalmad sem, hogy pontosan milyen ügyekben végzett supportot az illető, igy nem biztos, hogy tudnod kell, hogy miért kapott subjectekhez és email cimekhez hozzáférést. Hogy a teljes organizációban kapta-e, vagy csak 1 milliomod részére, valószinűleg arról sem tudsz semmit.

Egyebkent erdemes ranezni a postafiokokhoz rendelt jogosultsagokra. Ne feledjuk, MS Exchange + AzureAD van a kiszolgaloi oldalon. ;)

Arra lennek igazan kivancsi, hogy egy support account miert kap hozzaferest barmilyen ugyfel adatahoz. Legyen az csak cimjegyzek es targy mezo. Arrol nem is beszelve, hogy 3 honapon keresztul. Valamint az MS miert csak 3 honap utan szerzett errol tudomast.

Egy vállalat teljes üzleti és félüzleti kapcsolati hálója teljes mértékben feltárható azonnal. A szöveg már kikövetkeztethető ha elég tárgy, feladó és címzett van a kezedben. Igaz, a valódi üzleti adatok a szövegben vannak, látszólag.

"A szöveg már kikövetkeztethető ha elég tárgy, feladó és címzett van a kezedben."

Megnézném ahogy ebből kikövetkezteted az egyetlen lényeges információt 2 cég egyezkedését az árakról, hogy mondjuk alá igérj egy tenderen, vagy csak egy sima adásvételben. :)

Maradjunk annyiban, hogy cége válogatja. Nálunk pl. teljesen publikus, hogy kiktől vesszük az árut, az a lényeg, hogy a sales-eseknek éppen mennyiért sikerült kialkudják az adott árut a vevőtől és mennyiért tudják elsütni a vevőnek.

pl kivalo cimlista az "utaljatok gyorsan 10k eur-t" trukkhoz, nemkell ehhez a level tartalma sem. epp eleg ha par cegnel bejon.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ez alapvetően jó, hogy így korlátozva volt a hozzáférés, de mondjuk náluk is lehetne a supportos kollégának kötelező a hardverkulcs használata. A Gmailnél az, és akkor nehezebb lenne ellopni észrevétlenül egy ilyen fontos accot.

> Ez alapvetően jó, hogy így korlátozva volt a hozzáférés, de mondjuk náluk is lehetne a supportos kollégának kötelező a hardverkulcs használata.

Errol valoszinuleg semmit nem tudunk, tekintve hogy amikor ott dolgoztam, akkor nekem is smart cardom volt, pedig nem fertem hozza semmi eles ugyfeladathoz.

Szoval azt mondod elloptak a hw kulcsot es az neki nem tunt fel? Vagy olyan technologiat hasznalnak ami masolhato? Vagy nem hasznaltak semmilyet. Barmelyiket valasztod mind ubergaz...

Mi van akkor ha a supportos benne volt a buliban?
Nem tudjuk a reszleteket. Osszeeskuveselmeleteket meg konnyu gyartani.

En bizony nem valasztom egyiket sem, mert egeszen pontosan nulla informaciom van az esetrol. :)

Azt tudom, hogy nekem volt smartcard, es volt olyan, amihez hasznalni kellett.

Ez egyre jobb :D

Alakul:
"My account was hacked as a direct result of this. Lost 25,000 in crypto. Hackers didn’t have my credentials they just had access to the content of my emails. Didn’t need passwords. Just put in password change requests. Verified the email confirmation links. Any confirmation they needed they had access to. Strange New IP is this really you? Click. New password? sure? Click. Want to add 2fa so the real owner can’t get in and you can do fast 2fa withdrawals? Click. Will just turn those email confirmation withdrawals off. Oh and since your basically a hotmail employee today let’s just erase all emails that this happened today so when the real email user logs in there’s literally no trail of this happening. For real do I have recourse against Microsoft? I am sure I am not the only one. Crypto users were targeted."

LoL, nálysz. "Src plz"?

- - -
TransferWise

Köszönöm.

- - -
TransferWise

Nepszerutlen velemenyem szerint a 2FA ugyanannyit art, amennyit hasznal.

De a kotelezo jelszorotacional kevesbe kartekony.