Három hónapon keresztül fértek hozzá illetéktelenek Microsoft által kezelt e-mail fiókok adataihoz

Titkosítás, biztonság, privát szféra

Részletek az érintett fiókok tulajdonosait értesítő Microsoft-levélben.

( Ritter | 2019. 04. 14., v – 19:30 )

gelei sem jött szerecsent mosdatni?
már neki is ciki?

( freeoli v | 2019. 04. 14., v – 22:06 )

Azt lehet tudni, hogy ha egy üzleti partner lett érintett? Valahogy le lehet kérdezni egy konkrét tartomány érintettségét?

( dcsaba v | 2019. 04. 14., v – 22:31 )

15 éve ugyanígy olvasom a gmailt.
Hol itt a probléma?
Ki az a bottal ütött aki egy fontosabb infót kitol a netre?

Például az aki használja az emailt valamire és általában a számítógépét. Netán azzal keresi pénzét aminek része az email kommunikáció is és nem öncélból játszadozik nagyon-szekjúr OpenBSD-vel heti 50 órát 5% alatti produktivitással.
De ez utóbbival sincs semmi gond ha gazdag szülők vagy milliárdos családból származó feleség fizeti a megélhetést. :)

( Tassadar v | 2019. 04. 15., h – 06:35 )

Kíváncsi lennék a kapcsolatra a support agent-jük credentials-je és a hosztolt customer user mailbox-ok között. :O

Az ugye megvan, hogy pont a levelek szövegéhez és csatolmányaihoz nem volt hozzáférése a support accountnak? Biztonsági okokból.
Csak a levél tárgyát és a contact-okat látta, mert csak ennyire volt szüksége.
Az, hogy ellopták a bejelentkezési adatait a supportos usertől, az rá nézve gáz, de maga a rendszer ennyi infó szerint kimondottan jól volt megtervezve, nem arról van szó, hogy a supportos full access-t kapott a user postafiókján, csak ahhoz fért hozzá, amihez szüksége volt.

En tovabbra sem latom, hogy miert kellett ezekhez by default jogosultsagot delegalni a teljes organizacioban, illetve ezzel az is legalabb reszben megdolt, hogy ezeket a support elott is teljesen titkositva taroljak.

Radasul az elvileg fejlett behatolaserzekeles a tamadast 3 honapon keresztul nem vette eszre.

Én inkább azt kérdezném, hogy nincsen napló arról, hogy kinek nézett bele a fiókjába és pontosan mit nézett meg?

Egyébként már semmin sem lepődök meg. Nem írok cégnevet, sőt még nagyságot se, mert kiderülne kiről van szó. Szóval egy távoli országban egy (AI) kutatás eredményét prezentáló kollágától előadása után megkérdeztem vacsora közben, hogy mégis honnan voltak ilyen részletes adatai: hát hozzáférek a felhasználók üzeneteihez. Dehát hogyan - kérdeztem. A válasz az volt: mert ott dolgozom. Megkérdeztem mégegyszer, de egyszerűen nem értette, hogy mi ezzel a probléma..

Én meg azt kérdezném, hogy ha nincsen napló arról, hogy kinek néztek bele a fiókjába, akkor hogyan tudták szelektiven csak az érintetteket értesiteni? :)

De szerintem felesleges ezt tovább ragozni, ennyi az információ, továbbiakban csak mindenki a saját szája ize szerint tud elméleteket gyártani.

Hát annyi, hogy megütötte a sajtó ingerküszöbét +
"Our notification to the majority of those impacted noted that bad actors would not have had unauthorized access to the content of e-mails or attachments”
“A small group (~6 percent of the original, already limited subset of consumers) was notified that the bad actors could have had unauthorized access to the content of their email accounts, and was provided with additional guidance and support.”
és a legaggasztóbb -> "Microsoft is still refusing to reveal how many accounts were affected."

Ez két dolgot jelenthet: sok fiókról van szó és/vagy nem tudják pontosan hány fiókról van szó.
Hiszen PR szempontjából ha kevés fiókról lenne szó, akkor azonnal érdemes lenne közölni a számot.

Neked mi számitana kevés fióknak ami PR szempontból jól mutatna?
Hogy kontextusba tegyük, talán 1 milliárd fiókot kezelnek, aminek a fele aktiv. Hány százalék nézne ki jól szerinted PR szempontból?

De örülök, hogy naplózáson túljutottunk :)

A sajtó ingerküszöbével meg ne vicceljünk már, ha 3 ember kapott volna ilyen értesitőt az 1 milliárdból, akkor is benne lenne a hirekben.

Honnan tudod, hogy a support mely része kapott ilyen jogosultságot?
Honnan tudod, hogy mennyi adatot töltöttek le, hogy mondjuk a behatolásérzékelés észrevegye? (tehát mondjuk korábban napi 20 user mailboxában supportált az illető a munkájából kifolyólag, most meg mondjuk napi 5000-ben)

Mivel gondolom neked sincs halovány fogalmad sem, hogy pontosan milyen ügyekben végzett supportot az illető, igy nem biztos, hogy tudnod kell, hogy miért kapott subjectekhez és email cimekhez hozzáférést. Hogy a teljes organizációban kapta-e, vagy csak 1 milliomod részére, valószinűleg arról sem tudsz semmit.

Egyebkent erdemes ranezni a postafiokokhoz rendelt jogosultsagokra. Ne feledjuk, MS Exchange + AzureAD van a kiszolgaloi oldalon. ;)

Arra lennek igazan kivancsi, hogy egy support account miert kap hozzaferest barmilyen ugyfel adatahoz. Legyen az csak cimjegyzek es targy mezo. Arrol nem is beszelve, hogy 3 honapon keresztul. Valamint az MS miert csak 3 honap utan szerzett errol tudomast.

"A szöveg már kikövetkeztethető ha elég tárgy, feladó és címzett van a kezedben."

Megnézném ahogy ebből kikövetkezteted az egyetlen lényeges információt 2 cég egyezkedését az árakról, hogy mondjuk alá igérj egy tenderen, vagy csak egy sima adásvételben. :)

Maradjunk annyiban, hogy cége válogatja. Nálunk pl. teljesen publikus, hogy kiktől vesszük az árut, az a lényeg, hogy a sales-eseknek éppen mennyiért sikerült kialkudják az adott árut a vevőtől és mennyiért tudják elsütni a vevőnek.

( nagy_peter v | 2019. 04. 15., h – 14:02 )

Ez alapvetően jó, hogy így korlátozva volt a hozzáférés, de mondjuk náluk is lehetne a supportos kollégának kötelező a hardverkulcs használata. A Gmailnél az, és akkor nehezebb lenne ellopni észrevétlenül egy ilyen fontos accot.

> Ez alapvetően jó, hogy így korlátozva volt a hozzáférés, de mondjuk náluk is lehetne a supportos kollégának kötelező a hardverkulcs használata.

Errol valoszinuleg semmit nem tudunk, tekintve hogy amikor ott dolgoztam, akkor nekem is smart cardom volt, pedig nem fertem hozza semmi eles ugyfeladathoz.

( answ | 2019. 04. 16., k – 15:19 )

Alakul:
"My account was hacked as a direct result of this. Lost 25,000 in crypto. Hackers didn’t have my credentials they just had access to the content of my emails. Didn’t need passwords. Just put in password change requests. Verified the email confirmation links. Any confirmation they needed they had access to. Strange New IP is this really you? Click. New password? sure? Click. Want to add 2fa so the real owner can’t get in and you can do fast 2fa withdrawals? Click. Will just turn those email confirmation withdrawals off. Oh and since your basically a hotmail employee today let’s just erase all emails that this happened today so when the real email user logs in there’s literally no trail of this happening. For real do I have recourse against Microsoft? I am sure I am not the only one. Crypto users were targeted."