Clouddienst lekt kortstondig adresboeken van klantorganisaties (10/12/22)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★ (de informatie over het datalek komt uit meerdere bronnen)

Organisatie

Microsoft.

Betrokkenen

Personen van wie de gegevens waren opgenomen in de gelekte adresboeken. Van hoeveel organisaties de adresboeken gelekt zijn, en om hoeveel personen het gaat, is onbekend.

"[Business Productivity Online Suite (BPOS)] is een softwaresuite voor bedrijven, waarmee informatie op servers van Microsoft kan worden opgeslagen. De suite omvat onder meer onlineversies van Exchange, SharePoint en diverse andere Office-toepassingen. In Nederland heeft Microsoft een eigen datacentrum, zodat gehoste data de landsgrenzen niet over hoeft. Hier gebruiken onder meer het Amstelland Ziekenhuis en het Maasstad Ziekenhuis onderdelen van BPOS. Philips laat 80.000 gebruikers met het Communications Online-onderdeel werken." (Tweakers.net, 10/12/22)

Soort (persoons)gegevens

Gegevens die waren opgenomen in het Offline Address Book van de BPOS Standard Suite.

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Derden konden het adresboek van bedrijven downloaden. Volgens Microsoft is dat ook gebeurd. [...] Het lek zat in het Offline Adress Book van de Business Productvitity Online Suite, een clouddienst van Microsoft voor bedrijven. Gedurende enkele uren konden kwaadwillenden onder bepaalde omstandigheden het adresboek, met adresinformatie voor werknemers, downloaden. [...] Het issue kwam alleen voor bij klanten met BPOS Standard. Andere services dan het adresboek bevatten volgens Microsoft het lek niet." (Tweakers.net, 10/12/22)

"[Het Offline Address Book] is het adresboek van een bedrijf dat lokaal beschikbaar is op pcís, maar wordt gesynchroniseerd met een server in een Microsoft datacenter. Door [een configuratiefout] was het mogelijk om ook de adresboeken van andere BPOS-klanten te downloaden. Het euvel trad alleen op bij de meest gebruikte versie, BPOS Standard Suite. Een helpdeskmedewerker bevestigt dat het lek wereldwijd optrad in datacenters van Microsoft in Amerika, Europa en AziŽ. Hij erkent dat daadwerkelijk bedrijfsdata is uitgelekt en bijvoorbeeld bij concurrenten of spammers terecht kan zijn gekomen." (WebWereld, 10/12/22)

Respons van de organisatie

"Microsoft heeft in een e-mail aan klanten toegegeven dat er kortstondig een lek zat in zijn BPOS-clouddienst. [...] Het lek werd na twee uur verholpen. [...] Microsoft heeft contact opgenomen met de bedrijven waarvan het adresboek door derden is gedownload, zo zegt de softwarefabrikant in een e-mail aan BPOS-klanten, waarover Tweakers.net beschikt. [...] Het softwarebedrijf belooft klanten dat het lek niet meer kan optreden." (Tweakers.net, 10/12/22)

"Binnen twee uur had Microsoft het lek ontdekt en gedicht, maar het bedrijf erkent dat in een 'zeer beperkt aantal gevallen' deze adresboeken daadwerkelijk zijn gedownload. Microsoft zegt er aan te werken om de informatie die in verkeerde handen is gevallen te verwijderen, meldt [...], Director BPOS Communications aan Webwereld. Microsoft heeft e-mail naar alle partners en klanten van BPOS gestuurd over het datalek." (WebWereld, 10/12/22)

Bronnen

Eerste publicatie:
Off-site link, opens in new window Tweakers.net: Microsoft bevestigt lek adresboek (10/12/22)
Off-site link, opens in new window WebWereld: Microsoft-cloud lekt bedrijfsdata van klanten (10/12/22)

Zie verder:
Off-site link, opens in new window Security.nl: Microsoft clouddienst lekt adresboek bedrijven (10/12/22)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.