{"id":315040,"date":"2025-08-30T00:03:24","date_gmt":"2025-08-29T22:03:24","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=315040"},"modified":"2025-09-03T10:36:47","modified_gmt":"2025-09-03T08:36:47","slug":"microsoft-konto-seht-ihr-fremde-aktivitaeten-im-verlauf","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/08\/30\/microsoft-konto-seht-ihr-fremde-aktivitaeten-im-verlauf\/","title":{"rendered":"Microsoft Konto gehackt? Seht ihr fremde Aktivit\u00e4ten im Verlauf?"},"content":{"rendered":"

[English<\/a>]Ich stelle mal eine kurze Information, verbunden mit einer Frage an die Leserschaft hier ein. Es geht um den Aktivit\u00e4tsverlauf bei euren Microsoft-Konten. Ein Blog-Leser hat mich informiert, dass bei ihm pl\u00f6tzlich Zugriffe von fremden IPs aufgetaucht seien – an meinem Konto kann ich nichts erkennen. Sein Konto scheint trotz 2FA gehackt worden zu sein.<\/p>\n

<\/p>\n

Ein Leserhinweis auf eine Merkw\u00fcrdigkeit<\/h2>\n

\"\"Blog-Leser Thomas B. hatte mich die Tage angemailt und gefragt: \"Hast Du schon mal in Dein Microsoft Konto rein geschaut und unter Sicherheit nach Deinen Anmeldeaktivit\u00e4ten gesehen, ob da welche dabei sind, die nicht von Dir sein k\u00f6nnen?<\/em>\" Er hatte durch Zufall im Microsoft Konto nachgesehen und nachfolgende Eintr\u00e4ge vorgefunden:<\/p>\n

\"Aktivit\u00e4tsverlauf<\/a><\/p>\n

Er hat zwei Microsoft-Konten, von denen ich eines mit der letzten Aktivit\u00e4t in obigem Screenshot eingestellt habe. Bei beiden Microsoft Konten fanden erfolgreiche Zugriffe von einer fremden IP aus Irland statt. In obigem Screenshot ist der Hinweis \"Anmeldung blockiert (Konto kompromittiert)\" zu sehen.<\/p>\n

Meine Gegenprobe war unauff\u00e4llig<\/h3>\n

Der Leser war sich sicher, dass da keine Zugriffe von ihm stattgefunden haben. Ich habe dann in einem meiner Microsoft-Konten nachgeschaut, aber da war der Verlauf unter \"Letzte Aktivit\u00e4t\" schlicht leer – das zeigt, wie selten ich dieses Konto nutze.<\/p>\n

Als ich Tom dies mitteilte, meinte er \"Ja, bei meiner Frau und einem weiteren Microsoft Konto ist da auch nix.\u00a0Was mich wundert, wie diese erfolgreiche Anmeldung funktioniert haben soll, obwohl ich bei all meinen Konten MFA aktiviert habe.\u00a0Das gibt mir zu denken.<\/em>\" Und das ist auch ein Punkt, der mir zu denken gibt.<\/p>\n

Was ist da los?<\/h3>\n

Mit Mehrfaktor-Authentifizierung darf eigentlich nur der Besitzer des Kontos, der auch Zugriff auf den Authenticator hat, erfolgreich auf das Microsoft Konto zugreifen k\u00f6nnen. Da Tom MVP war, halte ich einen \"Irrtum\" eher f\u00fcr ausgeschlossen.<\/p>\n

Wie kann es dann sein, dass jemand von einer fremden IP-Adresse trotz MFA erfolgreich auf das Microsoft Konto zugreift – zumindest wird das so angezeigt?<\/p>\n

Konto wurde offenbar gehackt<\/h2>\n

Ich hatte den obigen Text vorbereitet und Tom dr\u00fcber lesen lassen. Im Nachgang schrieb er mir: \"\u2026 hab gesehen, Microsoft hatte mir vor Wochen eine eMail auf mein outlook.com-Postfach geschickt, dass anscheinend versucht wurde, von meinen Postfach Massen-E-Mails zu versenden \u2026 dumm, das ich nie auf diese Umst\u00e4nde aufmerksam gemacht wurde \u2026 au\u00dfer das ich jetzt zuf\u00e4llig mal in mein outlook.com Postfach geschaut habe \u2026\".<\/p>\n

Weiterhin wurde das Microsoft-Konto des Lesers von nexusmods.com<\/a> – wegen SPAM – mit einem Bann belegt. Der Leser schlie\u00dft daraus, dass zwei seiner Microsoft-Konten gehackt oder kompromittiert wurden.<\/p>\n

Ich hatte dem Leser dann geantwortet: \"Hast Du irgend eine Erkl\u00e4rung, wie das passieren konnte – Du schriebst ja, dass 2FA aktiv war. Kann ein Token abgezogen worden sein? Andernfalls hie\u00dfe es ja, dass das Konto von Microsoft her kompromittiert wurde.\" Als Antwort\u00a0schrieb Tom:<\/p>\n

Ja, Du hast wahrscheinlich Recht, es ist weitergehend, und es sind tiefere Sicherheitsmechanismen kompromittiert .. sonst kann ich mir das auch nicht vorstellen. .. mir ist es merkw\u00fcrdig, dass es zwei unterschiedliche IPv6 aus dem Azure Subnetz sind, die dort aufgef\u00fchrt sind .. ich habe bisher keine weiteren Auff\u00e4lligkeiten feststellen k\u00f6nnen \u2026<\/p>\n

\u2026 und so ist es mir auch merkw\u00fcrdig, dass es NexusMods ist, die auch auf Komprimtierung hindeuten, auch in einem RZ auf der Insel \u2026<\/p>\n

Es kommen auch keine prozessm\u00e4ssigen eMails, die man nutzen kann, wenn man geblockt wird, nutzen kann, die kommen nicht an, nur die eMails, die direkt \u00fcber SMTP zwischen NexusMods Support und mir ausgetauscht werden, funktionieren \u2026 aber auch da hakt es, \u2026 ich habe jetzt mal ein paar NexusMods Benutzer angeschrieben, die ich auch \u00fcber private eMails kontaktieren kann, mal sehen was kommt \u2026<\/p><\/blockquote>\n

Alles sehr obskur, mir f\u00e4llt nur ein \"wenn Microsofts Infrastruktur kompromittiert wurde, k\u00f6nnte das erkl\u00e4rt werden\". Das ist der Punkt, wo ich das Thema an die Leserschaft weiter geben m\u00f6chte. Vermutlich schaut kaum jemand in den Verlauf der Aktivit\u00e4ten eines Microsoft Kontos. Vielleicht mal pr\u00fcfen und ggf. hier kommentieren, falls ungew\u00f6hnliche Aktivit\u00e4ten auftreten oder falls es eine Erkl\u00e4rung f\u00fcr den obigen Sachverhalt gibt. Bei 2FA-Absicherung des Microsoft-Kontos muss ja was gravierendes passiert sein.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich stelle mal eine kurze Information, verbunden mit einer Frage an die Leserschaft hier ein. Es geht um den Aktivit\u00e4tsverlauf bei euren Microsoft-Konten. Ein Blog-Leser hat mich informiert, dass bei ihm pl\u00f6tzlich Zugriffe von fremden IPs aufgetaucht seien – an … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[3613,4328],"class_list":["post-315040","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-microsoft-konto","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315040","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=315040"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315040\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=315040"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=315040"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=315040"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}