Web

 

Microsoft veröffentlicht versehentlich Kundendaten

21.11.2002

MÜNCHEN (COMPUTERWOCHE) - Microsoft sah sich Anfang der Woche gezwungen, einen öffentlich zugänglichen FTP-Server zwischenzeitlich vom Netz zu nehmen, nachdem Surfer darauf unter anderem sensible Kundendaten gefunden hatten. Die Maschine "ftppss.microsoft.com" dient eigentlich zum Download von Treibern und Patches sowie zum Upload von Dateien an das PSS Security Response Team. Laut "Wired News" führte aber ein offensichtlicher Konfigurationsfehler in Kombination mit einer ineffektiven internen Sicherheits-Policy dazu, dass jedermann voll auf alle Ordner zugreifen und unter anderem vertrauliche Präsentationen, Spreadsheets, interne Berichte und andere Informationen abgreifen konnte.

Unter anderem fand sich auf dem Microsoft-Server eine 1 GB große Datenbank mit Namen und Mailing-Adressen. Zwar war das gepackte Archiv "dmail_11_04_02-zip" mit dem Passwort "dbms" verschlüsselt, aber mithilfe frei erhältlicher Passwort-Cracking-Software schnell geöffnet. Laut Russ Cooper von TruSecure wurde der eigentlich nur für den Produkt-Support gedachte Server auch von der Marketing-Abteilung genutzt. "Die haben wahrscheinlich gedacht, sie machen nur File Sharing mit anderen Microsoftlern und dass der Server geschützt war", vermutet der Sicherheitsexperte. Ein Microsoft-Sprecher wollte dem Bericht zufolge den Vorfall nicht unmittelbar kommentieren.

Im vergangenen Monat hatte bereits ein türkischer Sicherheitsexperte und bekennender Unix-Fanatiker eine Reihe interner Microsoft-Dokumente auf seiner Website veröffentlicht, die aber nach Angaben des Unternehmens bereits veraltet waren. Tamer Sahin gab an, er sei Anfang dieses Jahres in das interne Netz des Konzerns eingedrungen und habe dabei "bekannte Schwachstellen" in Microsofts Software ausgenutzt. (tc)