{"id":239973,"date":"2020-12-27T00:11:00","date_gmt":"2020-12-26T23:11:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=239973"},"modified":"2020-12-23T10:59:27","modified_gmt":"2020-12-23T09:59:27","slug":"ungeschtztes-azure-blob-legt-500-000-vertrauliche-dokumente-offen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/12\/27\/ungeschtztes-azure-blob-legt-500-000-vertrauliche-dokumente-offen\/","title":{"rendered":"Ungesch&uuml;tztes Azure Blob legt 500.000 vertrauliche Dokumente offen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=17964\" target=\"_blank\" rel=\"noopener\">English<\/a>]Einem britischen App-Entwickler ist ein folgenreicher Fehler unterlaufen, weil er eine Microsoft Azure Blob ungesch\u00fctzt in der Cloud betrieb. In Folge konnte \u00f6ffentlich und ohne jegliche Zugangskontrolle auf \u00fcber 500.000 vertrauliche Dokumente, teilweise mit medizinischen Daten, zugegriffen werden.<\/p>\n<p><!--more--><\/p>\n<h2>Was ist Azure Blob?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/eea70f266b0b4217b49f021fbdc44817\" alt=\"\" width=\"1\" height=\"1\" \/>Azure Blob Storage ist die Objektspeicherl\u00f6sung von Microsoft f\u00fcr die Cloud. Blobspeicher ist f\u00fcr die Speicherung gro\u00dfer Mengen unstrukturierter Daten optimiert. Unstrukturierte Daten sind Daten, die keinem bestimmten Datenmodell und keiner bestimmten Definition entsprechen (also beispielsweise Text- oder Bin\u00e4rdaten). Mehr Details lassen sich in der Beschreibung <a href=\"https:\/\/docs.microsoft.com\/de-de\/azure\/storage\/blobs\/storage-blobs-introduction#:~:text=Azure%20Blob%20Storage%20ist%20die,massive%20amounts%20of%20unstructured%20data.\" target=\"_blank\" rel=\"noopener\">Einf\u00fchrung in Azure Blob Storage<\/a> nachlesen.<\/p>\n<h2>Der Datenschutzvorfall<\/h2>\n<p>Ich bin bereits vor Tagen auf diesen Datenschutzvorfall gesto\u00dfen, der sich in Gro\u00dfbritannien ereignete und von The Register <a href=\"https:\/\/www.theregister.com\/2020\/12\/18\/probase_unsecured_azure_blob\/\" target=\"_blank\" rel=\"noopener\">hier dokumentiert<\/a> wurde. Der in Surrey ans\u00e4ssige Entwickler von Business-Apps, Probase, hatte eine Microsoft Azure-Blob zum Speichern der ben\u00f6tigten Daten verwendet. Der Blob geh\u00f6rte zu einem CRM-Produkt des Entwicklers und enthielt 587.000 Dateien, von gesicherten E-Mails bis hin zu Briefen, Tabellenkalkulationen, Screenshots und mehr.<\/p>\n<p>Fakt ist, dass diese Microsoft Azure-Blob aus der Cloud vollst\u00e4ndig ungesichert per Internet erreichbar war. Jeder, der die ben\u00f6tigten URLs kannte, konnte auf die gespeicherten Informationen zugreifen. Es gab keine Sicherheitskontrollen f\u00fcr den Azure-Blob, d.h. die Daten konnten ohne Authentifizierung abgerufen werden. W\u00e4ren es nur Testdaten gewesen, h\u00e4tte man das achselzuckend zur Kenntnis nehmen k\u00f6nnen. Aber der Entwickler verwendete echte Daten aus speziellen Vorg\u00e4ngen. Der ungesicherte Microsoft Azure-Blob enthielt mehr als eine halbe Million vertraulicher und sensibler Dokumente von Kunden, die damit frei im Internet abrufbar waren.<\/p>\n<p>Laut The Register geh\u00f6rten zu den im Azure Blob enthaltenen Informationen arbeitsmedizinische Gutachten, Dokumente zu Versicherungsanspr\u00fcchen von US-Firmen, die von Lloyds of London gezeichnet wurden, und private Meinungen von \u00e4lteren Anw\u00e4lten \u00fcber j\u00fcngere Kollegen, die sich um eine Bef\u00f6rderung bewarben.<\/p>\n<p>Der Blob enthielt auch Sicherheitsdokumente von FedEx-Sendungen, interne Beschwerden der Lebensmittelfirma Huel, einer Investment-Management-Firma und unz\u00e4hligen anderen &#8211; und in mindestens einem Beispiel, das The Register laut eigener Aussage gesehen hat, einen Reisepass-Scan.<\/p>\n<p>Die Adresse des ungesicherten Microsoft Azure Blob wurde von Oliver Hough, einem Infosec-Forscher, entdeckt. Dieser sorgt sich zunehmend um die Sicherheit der in Blobs (Azure, AWS etc.) gespeicherten Daten. gab dann die Informationen an The Register weiter, in der Hoffnung, dass der Zugang gesperrt wird, sobald der Besitzer des Azure Blob identifiziert sei. The Register zitiert den Sicherheitsforscher mit:<\/p>\n<blockquote><p>\"Einen solchen Storage-Bucket zu finden, bei dem ein Anbieter alle Dateien seiner Kunden in einen einzigen Bucket gepackt hat, anstatt f\u00fcr jeden Kunden einen separaten Speicher zu erstellen, zeigt, dass auch im Jahr 2020 die Grundlagen eines sicheren Designs noch immer nicht befolgt werden.\"<\/p><\/blockquote>\n<p>In einer Erkl\u00e4rung des Probase-Direktor Paul Brown gegen\u00fcber The Register gab dieser an, dass man mit der Datenschutzaufsicht (Information Commissioner) zusammen arbeite, aber jeglichen Kommentar dar\u00fcber verweigerte, seit wann der Azure Blob \u00f6ffentlich verf\u00fcgbar gewesen sei. Weitere Details, auch zu betroffenen britischen Kunden, lassen sich <a href=\"https:\/\/www.deepl.com\/translator#en\/de\/In%20a%20statement%2C%20Probase%20director%20Paul%20Brown%20told%20The%20Register%3A%20%22We%20are%20working%20closely%20with%20the%20Information%20Commissioner's%20Office%20at%20present%20and%20advise%20we%20have%20no%20further%20comment%20at%20all.%22%0A%0ABrown%20would%20not%20comment%20on%20how%20long%20the%20blob%20had%20been%20left%20unsecured%2C%20though%20files%20inside%20dated%20back%20to%202013.%20We%20have%20asked%20the%20ICO%20to%20comment.%0A%0AOne%20Probase%20customer%20is%20Huel%2C%20the%20liquidised%20foodstuffs%20company%2C%20which%20used%20a%20complaints-tracking%20system%20that%20appeared%20to%20be%20fed%20into%20the%20unsecured%20Probase%20blob.%20El%20Reg%20was%20able%20to%20view%20emails%20relating%20to%20a%20customer%20complaint%20about%20too%20many%20beans%20in%20a%20batch%20of%20Huel's%20dried%20product%20%E2%80%93%20and%20the%20supplier's%20response%20to%20Huel's%20concerns.\" target=\"_blank\" rel=\"noopener\">hier abrufen<\/a>.\u00a0 Der Fall zeigt wieder einmal, wie lax h\u00e4ufig mit h\u00f6chst brisanten Informationen umgegangen wird und wie wenig Sicherheitsdenken bei Entwicklern vorhanden ist.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Einem britischen App-Entwickler ist ein folgenreicher Fehler unterlaufen, weil er eine Microsoft Azure Blob ungesch\u00fctzt in der Cloud betrieb. In Folge konnte \u00f6ffentlich und ohne jegliche Zugangskontrolle auf \u00fcber 500.000 vertrauliche Dokumente, teilweise mit medizinischen Daten, zugegriffen werden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-239973","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/239973","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=239973"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/239973\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=239973"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=239973"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=239973"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}