{"id":252547,"date":"2021-04-28T06:40:02","date_gmt":"2021-04-28T04:40:02","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252547"},"modified":"2022-10-24T12:44:46","modified_gmt":"2022-10-24T10:44:46","slug":"gab-es-bei-microsoft-ein-datenleck-beim-dynamics-pitch","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/28\/gab-es-bei-microsoft-ein-datenleck-beim-dynamics-pitch\/","title":{"rendered":"Gab es bei Microsoft ein Datenleck beim Dynamics-Pitch?"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/04\/28\/gab-es-bei-microsoft-ein-datenleck-beim-dynamics-pitch\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsforscher sind im Internet auf einen fehlkonfigurierten Microsoft Azure-Blob-Storage gesto\u00dfen, der sensible interne Informationen zu einer Pr\u00e4sentation f\u00fcr Microsoft Dynamics offen legt. Andere Firmen haben sich wohl f\u00fcr ein Projekt oder eine Partnerschaft bei Microsoft Dynamics beworben, um ihre Produkte zu integrieren. Den Daten nach geh\u00f6rt der Datenbestand zu Microsoft.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/1420a6b06a66448b866e06b17bb8fbab\" alt=\"\" width=\"1\" height=\"1\" \/>Wenn ich hier \u00fcber Datenlecks oder Hacks berichte, gehen mir immer zwei Sachen durch den Kopf. Da ist einmal der Gedanke: Ok, das sind irgendwie Firmen, die das Thema Sicherheit noch nicht verinnerlicht haben und bei diesem Thema patzen. Etwas schwingt auch \"selbst schuld\" mit, welches mir von der Blog-Leserschaft entgegen geschleudert wird, wenn ich mal wieder \u00fcber Datenlecks oder Sicherheitsvorf\u00e4lle bei Unternehmen berichte. Die Hoffnung ist, dass Firmen wie Apple, Google, Microsoft das alles bestens im Griff haben.<\/p>\n<p>Andererseits ist mir das Bonmot \"Es gibt nur Firmen, die gehackt wurden, und die, die es noch nicht gemerkt haben\" bekannt. Und ich denke mir beim \"selbst schuld\": Die Technik ist teilweise so komplex, die duldet keine Fehler. Und Fehler passieren unweigerlich fr\u00fcher oder sp\u00e4ter, so dass auch gr\u00f6\u00dfere Firmen Opfer von Hacks und Datenlecks werden.<\/p>\n<h2>Microsoft Dynamics, eine Einordnung<\/h2>\n<p>Microsoft Dynamics ist eine Suite integrierter Unternehmensprodukte und Softwareanwendungen, die von Microsoft f\u00fcr gro\u00dfe Unternehmen angeboten werden, die haupts\u00e4chlich in den Bereichen Finanzdienstleistungen, Einzelhandel, \u00f6ffentlicher Sektor und Fertigung t\u00e4tig sind. Viele der Produkte, die unter der Marke Microsoft Dynamics verkauft werden, wurden von kleinen unabh\u00e4ngigen Softwareunternehmen entwickelt und von Microsoft aufgekauft. Das Unternehmen hat dann jedes dieser separaten Produkte in eine einzige Produktlinie integriert. Das sollte man f\u00fcr nachfolgende Ausf\u00fchrung im Hinterkopf behalten.<\/p>\n<h2>Datenleck einer Dynamics-Pr\u00e4sentation<\/h2>\n<p>Sicherheitsforscher von vpnMentor haben k\u00fcrzlich einen fehlkonfigurierten Microsoft Azure-Blob-Speicher mit sensiblen internen Informationen aus dem Dynamics-Umfeld entdeckt. Bei der Datenpanne wurde \u00f6ffentlich, welches Unternehmen bei einem sogenannten Pitch\u00a0 Microsoft L\u00f6sungen f\u00fcr Microsoft Dynamics angeboten haben. Im Microsoft Azure-Blob-Speicher fanden sich Unternehmensdaten, Produktbeschreibungen, Produktcodes, hartkodierte Passw\u00f6rter und mehr. Die Sicherheitsforscher gehen nach Sichtung der Daten davon aus, dass dieser Azure-Server vermutlich von Microsoft selbst falsch konfiguriert worden war.<\/p>\n<p>Der Microsoft Azure-Blob-Speicher umfasst eine Gr\u00f6\u00dfe von 63 GByte und war g\u00e4nzlich ungesichert. So konnte jeder, der die URL kannte, den Inhalt ohne besondere Hacker-F\u00e4higkeiten einsetzen. Die Dateien schienen aus einer Reihe von Pitches zu stammen, die von zahlreichen Unternehmen im Rahmen von Pr\u00e4sentationen (Pitches) an die Microsoft Dynamics-Gruppe gerichtet wurden. Es scheint sich um ein Projekt oder eine Partnerschaft gehandelt zu haben, f\u00fcr das sich die Unternehmen bewarben. Viele der Pitches enthielten die Quellcodes f\u00fcr Softwareprodukte &#8211; von denen einige schlie\u00dflich auf den Markt gebracht wurden.<\/p>\n<p>Der Speicher umfasste mehr als 3.800 Dateien mit Daten von Januar bis September 2016. Entdeckt wurde das Ganze am 7. Januar 2021, wobei das Unternehmen KPMG am 11. Januar und Microsoft am 12. Januar 2021 informiert wurden. So ganz klar scheint mit nicht, wer der Besitzer des Azure-Speichers gewesen ist. Am 23. Februar 2021 war der Microsoft Azure-Blob-Speicher wohl wieder gesichert. Die genauen Details dieses Datenlecks lassen sich in <a href=\"https:\/\/web.archive.org\/web\/20211028175205\/https:\/\/www.vpnmentor.com\/blog\/report-microsoft-dynamics-leak\/\" target=\"_blank\" rel=\"noopener\">diesem vpnMentor-Blog-Beitrag<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsforscher sind im Internet auf einen fehlkonfigurierten Microsoft Azure-Blob-Storage gesto\u00dfen, der sensible interne Informationen zu einer Pr\u00e4sentation f\u00fcr Microsoft Dynamics offen legt. Andere Firmen haben sich wohl f\u00fcr ein Projekt oder eine Partnerschaft bei Microsoft Dynamics beworben, um ihre Produkte &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/28\/gab-es-bei-microsoft-ein-datenleck-beim-dynamics-pitch\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[451,4328],"class_list":["post-252547","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenschutz","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252547","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252547"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252547\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252547"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252547"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252547"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}