![\"Stop](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Stop01.jpg\" "\\"Stop")
[English]Es ist ein kruder Sachverhalt, auf den ich mir noch keinen endg\u00fcltigen Reim machen kann. Seit einigen Wochen finden Zugriffe auf Microsoft Konten durch Dritte statt, die im Aktivit\u00e4tsverlauf zu sehen ist. Dabei haben die Nutzer die Zweifaktor-Authentifizierung f\u00fcr die Konten aktiviert. Wie kann das sein? Und noch kruder: Leser, die ich gebeten hatte, den Aktivit\u00e4tsverlauf des Kontos einzusehen finden dort nichts (geht auch mir so).<\/p>\n
<\/p>\n
Blog-Leser Tom hatte mich ja vor einigen Tagen auf eine Merkw\u00fcrdigkeit im Zusammenhang mit seinem Microsoft Konto hingewiesen. Er fand auf zwei seiner Microsoft Konten Zugriffe durch unbekannte Dritte.<\/p>\n
Obiger Screenshot zeigt diese Zugriffe f\u00fcr ein Microsoft Konto. Bei beiden Microsoft Konten fanden erfolgreiche Zugriffe von einer fremden IP aus Irland statt. In obigem Screenshot ist der Hinweis \"Anmeldung blockiert (Konto kompromittiert)\" zu sehen. Am Ende des Tages stellte sich heraus, dass sein Microsoft Konto kompromittiert und wegen SPAM gesperrt war – ich hatte im Artikel Microsoft Konto gehackt? Seht ihr fremde Aktivit\u00e4ten im Verlauf?<\/a> berichtet.<\/p>\n Kurz nachdem ich den oben verlinkten Blog-Beitrag online gestellt hatte, meldeten sich mehrere Nutzer mit weiteren Informationen.<\/p>\n Blog-Leser\u00a0Lukas meldete sich mit diesem Kommentar<\/a> und verwies auf den reddit.com-Thread\u00a0Log in from an different location that belongs to MICROSOFT-CORP-MSN-AS-BLOCK<\/a>. Dort beschreibt ein Nutzer, dass er\u00a0 am 25. Juli ich eine erfolgreiche Anmeldung auf seinem Microsoft Konto bemerkt habe. Auch hier gilt, dass der Nutzer 2FA aktiviert hatte und (\u00e4hnlich wie in obigem Fall) auch keine Benachrichtigung \u00fcber die fremde Anmeldung durch Microsoft erhalten hat.<\/p>\n In diesem Fall ist mit meinem Konto nichts passiert, und der Nutzer hat diesen Zugriff erst sp\u00e4ter (August 2025) durch Zufall bemerkt. Als er die seltsame IP-Adresse, von der der Zugriff erfolgte, \u00fcberpr\u00fcfte, stellte sich heraus, dass sie zu MICROSOFT-CORP-MSN-AS-BLOCK geh\u00f6rt und sich in Kanada befindet.<\/p>\n Der Nutzer fragte: \"Wisst ihr, was das sein k\u00f6nnte? Verbindet sich etwas von Microsoft mit meinem Konto?\" F\u00fcr den Betroffenen war es wirklich stressig, er hat sein Passwort ge\u00e4ndert und zus\u00e4tzlich zu seinen anderen 2FA-Optionen den Microsoft Authenticator eingerichtet. Im Thread gab es dann Best\u00e4tigungen, dass dies kein Einzelfall ist.<\/p>\n Im Microsoft-Q&A-Forum gibt es den Thread Microsoft Authenticator- Successful login from unknown account<\/a> vom 27. Juli 2025. Der Inhaber eines Microsoft Kontos erhielt am 26. Juli 2025 eine Menge Anfragen des Authenticators f\u00fcr Zugriffe, die er aber abgelehnt habe.<\/p>\n Dann habe er den Authentifizierer aufgerufen, um die letzten Aktivit\u00e4ten zu \u00fcberpr\u00fcfen. Dort musste der Benutzer feststellen, dass zwei Tage vorher eine erfolgreiche Anmeldung an seinem Benutzerkonto von Microsoft von einer IP-Adresse in Des Moines, Iowa (unbekanntes Ger\u00e4t\/Betriebssystem) stattgefunden hatte. Auch hier hatte der Betroffene keine Benachrichtigung \u00fcber diese Anmeldung und keine verd\u00e4chtigen Aktivit\u00e4ten im Konto erhalten.<\/p>\n Der Nutzer hat die Aktivit\u00e4t als verd\u00e4chtig markiert und sein Passwort ge\u00e4ndert. Auch hier versteht der Betroffene nicht, warum er nicht benachrichtigt wurde. Als er die IP-Adresse 2a01:111:f402:f139::f148 im Internet recherchiert hat, sah es so aus, als ob diese einem\u00a0Microsoft-Rechenzentrum zugewiesen wurde. Der Nutzer fragt, ob jemand eine Idee habe, was passiert sein k\u00f6nnte und\/oder was ich jetzt tun sollte, um sein Konto zu sch\u00fctzen? Im Thread haben sich weitere Betroffene gemeldet, die ebenfalls Kontenzugriffe trotz 2FA von Dritten bemerkten. Alle IP-Adressen scheinen aus dem Microsoft-Netzwerk zu kommen und die Nutzer werden nicht \u00fcber die Zugriffe informiert.<\/p>\n Ein weiterer Fall wird im Microsoft Q&A-Forum im Thread\u00a0Someone else successfully login without going through authenticator app!!??<\/a> vom 27. Juli 2025 beschrieben. Der Betroffene musste feststellen, dass sich am 26. Juli 2025\u00a0jemand aus einem anderen Land erfolgreich an seinem Konto angemeldet hat, ohne die Authentifizierungs-App verwenden zu m\u00fcssen.<\/p>\n Der im Thread gezeigte Screenshot ist auf Chinesisch und bedeutet im Wesentlichen: Ger\u00e4t unbekannt, Browser unbekannt, Anmeldung erfolgreich, Land ist die USA<\/em>. Der Nutzer schreibt, dass er nicht einmal eine Nachricht erhalten habe, dass jemand versucht hat, sich anzumelden, und es gab auch \u00fcberhaupt keine Warnung. Der Betroffene (wohl auch China) fragt: Ist das \u00fcberhaupt m\u00f6glich? Kann mir bitte jemand helfen? Auch hier best\u00e4tigen weitere Nutzer diese Beobachtung bei den eigenen Konten.<\/p>\n Im Microsoft Q&A-Foren-Thread Someone else successfully login without going through authenticator app!!??<\/a> schreibt ein Nutzer, das auf das Problem der offenbar erfolgreichen IPv6-Authentifizierungen f\u00fcr einige Benutzer von Microsoft Konten aus verschiedenen Microsoft Rechenzentren antworten wolle.<\/p>\n Der Poster schreibt, dass es vielen Menschen zu passieren scheint, dass solche Aktivit\u00e4ten zu sehen seien. Er habe dieses Problem etwa dreimal gehabt, und alle diese IPv6-Adressen geh\u00f6ren mutma\u00dflich Microsoft, denn sie werden alle zu MICROSOFT-CORP-MSN-AS-BLOCK aufgel\u00f6st.<\/p>\n Der Betroffene hat\u00a0festgestellt, dass dies normalerweise passiert, wenn er die mobile App von Outlook oder OneDrive \u00f6ffnet (ob es Android oder iOS ist nicht angegeben). Der Betroffene hat auf den Forenbeitrag\u00a0Why Datacenter IPs are shown when a user logs in<\/a> verlinkt, wo dieses Problem diskutiert wird. Im Thread wird die imho unbefriedigende Antwort gegeben, dass es \"Aktivit\u00e4ten einer Smartphone-App\" (f\u00fcr OneDrive oder Outlook) seien, die mitunter umst\u00e4ndlich geroutet und als \"unbekannter Zugriff\" aufgef\u00fchrt w\u00fcrden.<\/p>\n In den Leserr\u00fcckmeldungen zum Beitrag Microsoft Konto gehackt? Seht ihr fremde Aktivit\u00e4ten im Verlauf?<\/a> hatte sich ein Nutzer mit diesem Kommentar<\/a> gemeldet. Er fand in seinem Verlauf ebenfalls einen IPv6-Aufruf aus Kanada. Er konnte sich erinnern, dass er zum Zeitpunkt dieses Aufrufs seine outlook.com-Anmeldedaten in Apple-Mail auf seinem iPhone erneut best\u00e4tigen musste.<\/p>\n Irgendwie ist das alles inkonsistent – im ersten Fall, den ich im Beitrag Microsoft Konto gehackt? Seht ihr fremde Aktivit\u00e4ten im Verlauf?<\/a> behandelt habe, wurde das Konto von Thomas B. wegen SPAM-Aktivit\u00e4ten blockiert. Thomas nutzt aber laut seiner Aussage weder ein iPhone noch ein iPad (zum Mail-Abruf). Da ist also etwas Unsch\u00f6nes passiert.<\/p>\n Der Leser verwies auf den Forenthread\u00a0Microsoft sign in from IPv6 associated with Microsoft<\/a> bei Microsoft Q&A, wo das Gleiche wie oben skizziert beschrieben wird. Das w\u00e4re in der obigen Nomenklatur Fall 4, und der betreffende Thread hat bereits vier Seiten mit Antworten von Betroffenen.<\/p>\n Es wird vermutet, dass die Logins von Microsoft erfolgen, die offenbar kein 2FA zum Zugriff ben\u00f6tigen. M\u00f6glicherweise f\u00fcr Porno-Scans, oder f\u00fcr den CoPiloten oder f\u00fcr Wartungszwecke. Das Verhalten wird bereits seit 2020 beobachtet, ohne dass es eine schl\u00fcssige Erkl\u00e4rung Microsofts gibt.<\/p>\n Nicht nachvollziehbar ist auch, dass manche Nutzer einige Aktivit\u00e4ten im Verlauf schlicht nicht sehen. Mir schaut es so aus, dass aus der Microsoft Infrastruktur Zugriffe ohne 2FA stattfinden, die u.U. nicht protokolliert werden und keine 2FA ben\u00f6tigen. Und wenn da etwas passiert, hat der Kontenbesitzer kaum eine Chance, etwas dagegen zu tun. Wenn ich def\u00e4tistisch w\u00e4re, t\u00e4te ich behaupten: Microsoft hat langsam die Kontrolle \u00fcber sein Cloud-Zeugs verloren. Aber vielleicht gibt es doch mal eine Erkl\u00e4rung und es wird auch offen gelegt, warum der erste von mir aufgegriffene Fall von Thomas B. trotz 2FA zu einem kompromittierten Konto f\u00fchrte.<\/p>\n Artikelreihe:<\/strong> [English]Es ist ein kruder Sachverhalt, auf den ich mir noch keinen endg\u00fcltigen Reim machen kann. Seit einigen Wochen finden Zugriffe auf Microsoft Konten durch Dritte statt, die im Aktivit\u00e4tsverlauf zu sehen ist. Dabei haben die Nutzer die Zweifaktor-Authentifizierung f\u00fcr die … Weiterlesen ![\"Aktivit\u00e4tsverlauf](\"https:\/\/i.postimg.cc\/X7nj4jZn\/image.png\")
<\/a><\/p>\nWeitere F\u00e4lle bekannt<\/h2>\n
Fall 1 auf reddit.com<\/h3>\n
Fall 2 im Microsoft Q&A-Forum<\/h3>\n
Fall 3\u00a0im Microsoft Q&A-Forum<\/h3>\n
Vermutung: Outlook-App ist beteiligt<\/h2>\n
\nMicrosoft Konto gehackt? Seht ihr fremde Aktivit\u00e4ten im Verlauf?<\/a>
\nFremde Anmeldungen an Microsoft Konten trotz 2FA<\/a> – Teil 2<\/p>\n","protected":false},"excerpt":{"rendered":"