Forstå kompleksiteten i Microsofts datapolitik og de bekymrende udviklinger relateret til privatliv.
In the current tech- and data-dominated era, our personal information is scattered all around the vast expanse of the Internet. As our reliance on digital means of communication, , and beyond grows, it becomes increasingly important to understand how companies handle our personal and private data.
Er sikkerheden af vores data virkelig så garanteret, som vi opfatter det?
Selvom virksomheder tydeligt udtrykker intentioner om sikker datahåndtering, møder den praktiske gennemførelse af disse intentioner mange udfordringer i det digitale landskab. Microsoft, som en af giganterne inden for teknologiindustrien, tiltrækker naturligt opmærksomhed.
En undersøgelse af praksis hos denne industrileder afslører ikke kun dens indflydelse på vores digitale liv, men rejser også spørgsmålet om, hvor meget vi stoler på Microsoft og deres engagement i at beskytte vores data.
Microsofts datapolitik: Privatlivserklæring og brugeraccept
Microsoft blev grundlagt i 1975 af Bill Gates og Paul Allen og har udviklet sig til en af de største og mest indflydelsesrige teknologivirksomheder på verdensplan, hvor Microsoft Office-softwarepakken er… bruges af mere end 1,2 milliarder mennesker på verdensplan; i det virkelige liv er det cirka hver syvende person på planeten.
Fra Windows-operativsystemer til Office-produktivitetssoftware dækker Microsofts produkter forskellige aspekter af vores digitale liv. Faktisk, med Med over 50 forskellige produkttilbud, lige fra e-mailservere og software til onlinemøder til streamingtjenester og præsentationsapps, er Microsoft blevet en integreret del af vores daglige digitale oplevelser.
Givet det omfattende udvalg af produkter og deres iboende værdi, overser et betydeligt antal brugere ofte et afgørende aspekt – sikkerheden af deres data, når de først er betroet Microsoft.
Overvej for eksempel, om du har gennemgået vilkårene og betingelserne, før du gav samtykke til at bruge Microsofts tjenester. Hvis ikke, er du langt fra den eneste.
Ifølge En undersøgelse foretaget af Deloitte viser, at overraskende 91% af borgerne accepterer juridiske vilkår og betingelser uden at sætte sig ind i detaljerne. Endnu mere bemærkelsesværdigt er det, at blandt de yngre mennesker i alderen 18-34 år accepterer hele 97 % betingelserne, før de overhovedet har læst dem.
For dem, der endnu ikke har udforsket Microsofts privatlivserklæring, er det vigtigt at overveje nogle vigtige indsigter. Den vigtigste af disse er afsløringen af, at:
“Microsoft indsamler data fra dig gennem vores interaktioner med dig og via vores produkter. Noget af disse data leverer du direkte, og noget indsamler vi ved at registrere data om dine interaktioner, din brug og dine oplevelser med vores produkter.”
Derudover indsamler Microsoft data om brugere fra tredjepartskilder; faktisk ikke kun indsamler, men også deler dataene med et stort datalager med 772 eksterne parter, som det fremgår af ny Outlook-opdatering. Det spørgsmål, du måske har: Kan jeg fravælge denne omfattende dataindsamling? Det enkle svar er ja; man kan manuelt gå ind og fravælge nogle af de privatlivssamtykker, som man finder unødvendige. Det er dog vigtigt at bemærke, at Ikke alle personlige data, der behandles af Microsoft, kan tilgås eller kontrolleres via opt-out-siden eller databeskyttelsesdashboardet. Hvis brugerne ønsker at administrere data, som ikke er tilgængelige via disse værktøjer, skal de kontakte Microsoft direkte.
Realiteten er dog, at størstedelen af brugerne sandsynligvis ikke vil gennemgå denne lange proces “kun” for at sikre deres datas sikkerhed.
Microsofts privatliv: Forstå kompleksiteten
Nogle vil måske hævde, at privatlivspolitikken alene ikke er tilstrækkelig grund til at mistro Microsoft med personlige og private data. Andre vil måske mene, at der stadig er et håbefuldt perspektiv, hvor Microsoft håndterer de oplysninger, det indsamler og opbevarer, ansvarligt og forhindrer, at de ender i de forkerte hænder.
Men sidste sommers DDoS-angrebet på Microsoft, som angiveligt resulterede i tyveri af data fra 30 millioner kundekonti, tvinger en til at genoverveje. På trods af Microsofts forsikring om, at der ikke var tale om tyveri, Erklæringen fra Anonymous Sudan, hacktivistgruppen, der angiveligt stod bag DDoS-angrebet, og som hævder, at salget af hele kundekontodatabasen sammen med potentielle forbindelser til russiske hackergrupper giver anledning til legitime bekymringer.
Dette rejser et grundlæggende spørgsmål: Er Microsoft virkelig den sikre destination, vi søger for vores data?
DDoS-angreb på Microsoft, juni 2023
I juni 2023, Microsoft blev offer for den mest højprofilerede distribueret denial-of-service (DDoS) angreb. Angrebet var præget af store trafikmængder, som resulterede i begrænset (eller ingen) tilgængelighed af visse tjenester. Årsagen til denne forstyrrelse skyldtes det, som Microsofts modstandergrupper kalder “Storm-1359” – en trusselsaktør med tilknytning til den berygtede hackergruppe Anonymous Sudan.
Hackergruppen hævder at have brudt ind på Microsofts servere og at have stjålet legitimationsoplysninger for 30 millioner kundekonti og fået adgang til konti, e-mails og adgangskoder. Derefter tilbød de at sælge denne database for 50.000 dollars og opfordrede potentielle købere til at købe stjålne data via deres Telegram-bot.
Anonymous Sudan havde allerede gjort sig bemærket med en række DDoS-angreb rettet mod enheder i Sverige, Danmark, USA, Australien og andre lande siden begyndelsen af 2023. Selv om de hævder at være oprindeligt baseret i Sudan, identificerer trusselsforskere potentielle logistiske og ideologiske bånd til Rusland.
Kompleksiteten øges, når man tænker på, at Anonymous Sudan kan have brugt a botnet, et netværk af computere, der er inficeret med malware, og som drives af Zarya Legion, en pro-russisk hacktivistgruppe, for deres DDoS-angreb i juni 2023. Det er blevet postuleret, at Zarya Legion søgte hævn over Microsoft for at have lukket Zloader-botnettet, en enhed, der angiveligt er forbundet med dem.
Før Zarya Legion blev sin egen enhed, fungerede den som en specialstyrkeenhed under ledelse af Killnet – en Den russisk-orienterede hacktivistgruppe blev kendt under krigen mellem Rusland og Ukraine; Killnet menes til gengæld at have samarbejdet med både Anonymous Sudan og XakNet, en gruppe, der vurderes at koordinere med russiske GRU-sponsorerede cybertrusselsaktører, som alle skaber et komplekst netværk af forbundne hacktivistorganisationer.
Med Anonymous Sudan i spidsen for denne opdagede kæde af hacktivistgrupper, bliver det svært at forestille sig, at nogen af disse enheder kunne være sikre opbevaringssteder for dine data, hvis Anonymous Sudans påstand skulle vise sig at være sand.
Microsofts respons på DDoS-angrebet, juni 2023
På trods af at han indrømmede, at der var sket et angreb, Microsoft afviste påstandene fra Anonymous Sudan og sagde, at de “ikke har set noget bevis for, at kundedata er blevet tilgået eller kompromitteret”.
Som svar udstedte Microsoft anbefalinger til brugerne om, hvordan de kan afbøde virkningen af lag 7 DDoS-angreb, og råder dem til at bruge lag 7-beskyttelsestjenester som f.eks. Azure Web Application Firewall (WAF), der er tilgængelig via Azure Front Door og Azure Application Gateway, er specielt udviklet til at beskytte webapplikationer.
Mens Microsofts råd til brugerne virker fornuftige, er implementeringen af dem med Azure ikke så enkel. Microsofts Azure Web Application Firewall (WAF) er en sikkerhedstjeneste, der er integreret i Microsoft Azure cloud-platformen. Azure, en omfattende cloud computing-platform, dækker et bredt udvalg af tjenester, herunder beregningskraft, lagring, databaser, netværk og sikkerhedstjenester.
Usikret Azure-opbevaring: Datalæk, september 2023
Siden juli 2020 har Microsofts AI-forskningsafdeling utilsigtet afslørede en betydelig mængde følsomme data, i alt 38 terabyte. Lækagen omfattede en Diskbackup af to medarbejderes arbejdsstationer, der indeholder fortrolige oplysninger som hemmeligheder, private nøgler, adgangskoder og over 30.000 interne Microsoft Teams-beskeder. Det skete, mens afdelingen bidrog til open source AI-læringsmodeller på et offentligt GitHub-arkiv.
Som det fremgår af BleepingComputer, kom afsløringen næsten tre år senere, i 2023, da Cloud-sikkerhedsfirmaet Wiz afslørede hændelsen. Sikkerhedsforskere fra Wiz fandt ud af, at en Microsoft-medarbejder utilsigtet delte URL’en til en fejlkonfigureret Azure Blob storage bucket med de lækkede oplysninger. Det blev opdaget, at Microsoft-forskere havde brugt en Azure-funktion kaldet SAS-tokens til at dele deres filer. Mens SAS-tokens typisk tillader deling af specifikke filer, var linket i dette tilfælde konfigureret til at dele hele lagerkontoen, hvilket afslørede yderligere 38 terabyte private filer.
Som nævnt af Wiz fremhæver denne hændelse en ny risiko, som organisationer står over for, især inden for AI-forskning, hvor store datasæt er afgørende for træningsmodeller. Når dataforskere og ingeniører skynder sig at udvikle nye AI-løsninger, “kræver de enorme mængder data, de håndterer, forbedrede sikkerhedsforanstaltninger og garantier”. Wiz CTO og medstifter Ami Luttwak fortalte BleepingComputer.
Som svar på opdagelsen har Microsoft Security Response Centre (MSRC)-teamet udsendte en meddelelse, hvor de forsikrede, at ingen kundedata blev eksponeret, og at ingen andre interne tjenester blev kompromitteret som følge af denne hændelse.
Er det ikke paradoxalt, at brugerne i et forsøg på at afbøde et DDoS-angreb bliver henvist til en løsning, der er indlejret i en platform, som synes at være grundlæggende kompromitteret? Desuden, selvom Microsoft igen benægtede, at brugerdata er blevet kompromitteret, vækker hyppigheden af sådanne erklæringer alligevel en vis tvivl, gør det ikke?
Microsoft Outlook-opdatering og de efterfølgende privatlivsbekymringer, november 2023
Lad os til sidst overveje et scenario, hvor dit brug af Microsofts produkter og tjenester kun er begrænset til Microsoft Outlook (til e-mailkommunikation). Hvor stor en indvirkning kunne dette valg af e-mailudbyder have? Desværre, med den nyeste Outlook-opdatering, kan det have en ret stor indvirkning.
Som nævnt af StartMail har den seneste version af Outlook en sikkerhedsbrist, der kan føre til utilsigtet deling af dine SMTP (Simple Mail Transfer Protocol) og IMAP (Internet Message Access Protocol), samt alle dine e-mails, med Microsofts servere, når du tilføjer en ny konto.
Problemet blev først opdaget af Heise.de og betyder, at du ved at tilføje en ny konto giver Microsoft adgang til at læse og analysere alle de e-mails, du sender og modtager. Selv om du kan gå til den tidligere version af appen når som helst, er dataene allerede blevet gemt og synkroniseret.
Hvordan kan du beskytte dine data?
Beslutningen om at stole på Microsoft med dine data og vælge det som opbevaringssted for dine mest personlige og private oplysninger er helt din egen. Hvis du derimod overvejer alternative muligheder, byder vBoxx gerne på muligheden for at vise dig de produkter og tjenester, vi tilbyder.
vBoxx, som er hostet i Holland, er en GDPR-compliant løsning til opbevaring, deling og håndtering af dine data. Med et stærkt engagement i at beskytte privatlivets fred og sikre, at hver online interaktion er sikker, skaber vBoxx et digitalt landskab baseret på tillid. Med et sikkert hostinghub, pålidelige cloud-tjenester og en betroet password manager fungerer vBoxx som din one-stop destination for digitale produktivitets- og sikkerhedsløsninger. Du kan være tryg ved, at vBoxx opretholder et strengt engagement i privatlivets fred og sikrer, at dine data ikke bliver solgt, delt med tredjeparter eller brugt til ikke-intenderede formål.
Interesseret? Du er velkommen til at kontakte os via vores kontaktside eller ringe til os! Vi er ivrige efter at introducere dig til en verden af fuldstændig digital privatliv og sikkerhed.
