Begrijpen van de complexiteit van het privacybeleid van Microsoft en de zorgwekkende privacy-gerelateerde ontwikkelingen.
In het huidige tijdperk waarin technologie en data centraal staan, is onze persoonlijke informatie overal op het internet verspreid. Nu we steeds meer afhankelijk worden van digitale communicatie en andere online diensten, wordt het steeds belangrijker om te begrijpen hoe bedrijven omgaan met onze persoonlijke en gevoelige gegevens.
Is de veiligheid van onze gegevens echt zo gegarandeerd als we denken?
Hoewel bedrijven duidelijk aangeven veilige omgang met data na te streven, stuit de praktische uitvoering hiervan in de digitale wereld op talloze uitdagingen. Microsoft, als een van de grootmachten in de techindustrie, springt daarbij vanzelfsprekend in het oog.
Het onderzoeken van de werkwijzen van deze marktleider onthult niet alleen de invloed op ons digitale leven, maar werpt ook de vraag op in hoeverre we Microsoft kunnen vertrouwen op zijn toewijding om onze gegevens veilig te houden.
De gegevenspraktijken van Microsoft: Privacyverklaring en gebruikersconsent.
Microsoft werd in 1975 opgericht door Bill Gates en Paul Allen en is uitgegroeid tot een van de grootste en invloedrijkste technologiebedrijven ter wereld. De Microsoft Office-softwaresuite is een van de meest toonaangevende softwarebedrijven ter wereld. gebruikt door meer dan 1,2 miljard mensen wereldwijd; vanuit een levensecht perspectief is dat ongeveer elke zevende persoon op de planeet.
Van Windows-besturingssystemen tot Office-productiviteitssoftware, de producten van Microsoft bestrijken verschillende aspecten van ons digitale leven. Sterker nog, met Met meer dan 50 verschillende productaanbiedingen, variërend van e-mailservers en software voor online vergaderingen tot streamingdiensten en apps voor het maken van presentaties, is Microsoft een integraal onderdeel geworden van onze dagelijkse digitale ervaringen.
Gezien het uitgebreide assortiment aan producten en de grote waarde ervan, wordt een belangrijk aspect door veel gebruikers vaak over het hoofd gezien: de veiligheid van hun gegevens zodra deze aan Microsoft worden toevertrouwd.
Denk bijvoorbeeld eens na over de vraag of je de algemene voorwaarden hebt doorgenomen voordat je toestemming gaf voor het gebruik van Microsoft-diensten. Zo niet, dan ben je zeker niet de enige.
Volgens Uit een onderzoek van Deloitte blijkt dat 91% van de mensen akkoord gaat met juridische voorwaarden zonder zich in de details te verdiepen. Sterker nog, onder de jongere mensen tussen 18 en 34 jaar gaat een verbazingwekkende 97% van de mensen akkoord met de voorwaarden voordat ze deze zelfs maar hebben gelezen.
Voor degenen die het nog moeten ontdekken Microsoft’s privacyverklaring is het noodzakelijk om een aantal belangrijke inzichten te overwegen. De belangrijkste hiervan is de onthulling dat:
“Microsoft verzamelt gegevens van u via onze interacties met u en via onze producten. Een deel van deze gegevens levert u zelf aan, terwijl we een ander deel verkrijgen door gegevens te verzamelen over uw interacties, gebruik en ervaringen met onze producten.”
Daarnaast verzamelt Microsoft gegevens over gebruikers uit bronnen van derden; in feite verzamelt Microsoft de gegevens niet alleen, maar deelt ze ook met een enorme gegevensbank van 772 externe partijen, zoals duidelijk wordt in de nieuwe Outlook-update. De vraag die je misschien hebt: Kan ik me afmelden voor deze uitgebreide gegevensverzameling? Het eenvoudige antwoord is ja; je kunt je handmatig afmelden voor sommige privacyverklaringen die je onnodig vindt. Het is echter essentieel om op te merken dat Niet alle persoonlijke gegevens die door Microsoft worden verwerkt, kunnen worden ingezien of gecontroleerd op via de opt-outpagina of het dashboard voor gegevensprivacy. Als gebruikers gegevens willen beheren die niet beschikbaar zijn via deze tools, moeten ze rechtstreeks contact opnemen met Microsoft.
De realiteit is echter dat de meeste gebruikers waarschijnlijk niet de moeite zullen nemen om dit lange proces te doorlopen, enkel en alleen om de veiligheid van hun gegevens te waarborgen.
De privacy van Microsoft: Inzicht in de complexiteit
Sommigen zullen beweren dat de privacyverklaring op zichzelf geen reden is om Microsoft te wantrouwen met persoonlijke en gevoelige gegevens. Anderen houden misschien zelfs een hoopvol perspectief dat Microsoft de informatie die het verzamelt en opslaat op verantwoorde wijze beheert en voorkomt dat deze in verkeerde handen terechtkomt.
De De DDoS-aanval op Microsoft, die naar verluidt heeft geleid tot de diefstal van gegevens van 30 miljoen klantenaccounts, dwingt tot heroverweging. Ondanks de verzekering van Microsoft dat er geen diefstal heeft plaatsgevonden, De verklaring van Anonymous Sudan, de hacktivistengroep die vermoedelijk achter de DDoS-aanval zit, waarin wordt beweerd dat de verkoop van de volledige database met klantaccounts, samen met mogelijke banden met Russische hackersgroepen, terechte zorgen baart.
Dit roept een fundamentele vraag op: Is Microsoft werkelijk de veilige bestemming die we zoeken voor onze gegevens?
DDoS-aanval op Microsoft, juni 2023
In juni 2023, Microsoft werd het slachtoffer van de meest high-profile DDoS-aanval (Distributed Denial-of-Service) . De aanval werd gekenmerkt door pieken in het verkeer die resulteerden in beperkte (of geen) beschikbaarheid van bepaalde diensten. De oorzaak van deze onderbreking werd veroorzaakt door wat de tegenstanders van Microsoft noemen “Storm-1359” – een dreigingsacteur die in verband wordt gebracht met de beruchte hackersgroep Anonymous Sudan.
De hackersgroep beweert te hebben ingebroken in de servers van Microsoft en gegevens te hebben gestolen voor 30 miljoen klantenaccounts, waarbij toegang werd verkregen tot accounts, e-mails en wachtwoorden. Vervolgens boden ze aan om deze database te verkopen voor $50.000, waarbij ze potentiële kopers aanmoedigden om gestolen gegevens te kopen via hun Telegram-bot.
Anonymous Sudan had zijn sporen al verdiend met een reeks DDoS-aanvallen gericht op entiteiten in Zweden, Denemarken, de Verenigde Staten, Australië en andere landen sinds begin 2023. Hoewel ze beweren oorspronkelijk uit Soedan te komen, identificeren bedreigingsonderzoekers potentiële logistieke en ideologische banden met Rusland.
De complexiteit neemt toe als je bedenkt dat Anonymous Sudan kan gebruik hebben gemaakt van a botnet, een netwerk van computers geïnfecteerd met malware, beheerd door Zarya Legion, een pro-Russische hacktivistengroep, voor hun DDoS-aanval van juni 2023. Er is verondersteld dat Zarya Legion wraak wilde nemen op Microsoft voor het uitschakelen van het Zloader-botnet, een entiteit die naar verluidt met hen in verband werd gebracht.
Zarya Legion, voordat het een eigen entiteit werd, opereerde als een speciale eenheid onder het commando van Killnet – een De aan Rusland gelieerde hacktivistengroep die bekendheid verwierf tijdens de oorlog tussen Rusland en Oekraïne; Killnet zou op zijn beurt hebben samengewerkt met Anonymous Sudan en Anonymous Sudan. XakNet, een groep die naar verluidt samenwerkt met door de Russische hoofdinlichtingendienst (GRU) gesponsorde cyberbedreigers, die samen een complex netwerk van onderling verbonden hacktivistische organisaties vormen.
Met Anonymous Sudan aan de frontlinie van deze ontdekte keten van hacktivistische groepen, wordt het moeilijk voor te stellen dat een van deze entiteiten een veilige bestemming zou zijn voor jouw gegevens, mocht de bewering van Anonymous Sudan waar zijn.
Microsofts reactie op de DDoS-aanval, juni 2023
Ondanks het toegeven van een aanval, Microsoft ontkende de beweringen van Anonymous Sudan en verklaarde dat ze “geen bewijs hebben gezien dat klantgegevens zijn ingezien of gecompromitteerd”.
In reactie hierop heeft Microsoft aanbevelingen voor gebruikers over hoe ze de impact van DDoS-aanvallen van laag 7 kunnen beperken, met het advies om beschermingsdiensten van laag 7 te gebruiken, zoals Azure Web Application Firewall (WAF), toegankelijk via Azure Front Door en Azure Application Gateway, speciaal ontwikkeld om webapplicaties te beschermen.
Hoewel het advies van Microsoft aan gebruikers redelijk lijkt, is de implementatie ervan met Azure niet zo eenvoudig. Microsofts Azure Web Application Firewall (WAF) is een beveiligingsservice die geïntegreerd is in het Microsoft Azure-cloudplatform. Azure, een uitgebreid cloudcomputingplatform, omvat een breed scala aan diensten, variërend van rekencapaciteit, opslag en databases tot netwerken en beveiligingsdiensten.
Onbeveiligde Azure-opslag: Datalek, september 2023
Sinds juli 2020 heeft de AI-onderzoeksafdeling van Microsoft onbedoeld een aanzienlijke hoeveelheid gevoelige gegevens blootgelegd, in totaal 38 terabytes. Het lek omvatte een schijfback-up van de werkstations van twee medewerkers, met vertrouwelijke informatie zoals geheimen, privésleutels, wachtwoorden en meer dan 30.000 interne Microsoft Teams-berichten. Dit gebeurde terwijl de divisie bijdroeg aan open-source AI-leermodellen op een openbare GitHub repository.
Zoals gesteld door BleepingComputer, kwam de onthulling bijna drie jaar later, in 2023, toen cloudbeveiligingsbedrijf Wiz ontdekte het incident. Beveiligingsonderzoekers van Wiz ontdekten dat een Microsoft-medewerker onbedoeld de URL voor een verkeerd geconfigureerde Azure Blob storage bucket deelde met de gelekte informatie. Er werd ontdekt dat Microsoft-onderzoekers een Azure-functie genaamd SAS-tokens hadden gebruikt om hun bestanden te delen. Terwijl SAS-tokens meestal het delen van specifieke bestanden toestaan, was in dit geval de koppeling geconfigureerd om de volledige opslagaccount te delen, waardoor nog eens 38 terabytes aan privébestanden werd blootgelegd.
Zoals Wiz al aangaf, benadrukt dit incident een nieuw risico voor organisaties, vooral op het gebied van AI-onderzoek, waar grote datasets cruciaal zijn voor het trainen van modellen. Terwijl datawetenschappers en technici zich haasten om nieuwe AI-oplossingen te ontwikkelen, “vereisen de enorme hoeveelheden gegevens die ze verwerken verbeterde beveiligingsmaatregelen en beveiligingen”. Wiz CTO & Cofounder Ami Luttwak vertelde BleepingComputer.
Als reactie op de ontdekking Het Microsoft Security Response Centre (MSRC)-team heeft een advies uitgegeven waarin wordt verzekerd dat er geen klantgegevens zijn blootgesteld en dat er geen andere interne services zijn gecompromitteerd als gevolg van dit incident.
Is het niet paradoxaal dat gebruikers, in een poging een DDoS-aanval te mitigeren, worden doorverwezen naar een oplossing binnen een platform dat zelf lijkt te kampen met inherente kwetsbaarheden? Bovendien, hoewel Microsoft opnieuw ontkent dat gebruikersgegevens zijn gecompromitteerd, roept de frequentie van dergelijke verklaringen toch enige twijfel op, nietwaar?
Microsoft Outlook-update en de daaropvolgende privacyzorgen, november 2023
Laten we tot slot een scenario overwegen waarin je gebruik van Microsoft-producten en -diensten beperkt blijft tot alleen Microsoft Outlook (voor e-mailcommunicatie). Hoe groot zou de impact van deze keuze van e-mailprovider kunnen zijn? Helaas blijkt dit, met de nieuwste Outlook-update, behoorlijk ingrijpend te zijn.
Zoals vermeld door StartMail, heeft de nieuwste versie van Outlook een beveiligingslek dat kan leiden tot het onbedoeld delen van je SMTP (Simple Mail Transfer Protocol) en IMAP (Internet Message Access Protocol), evenals al je e-mails, met de servers van Microsoft wanneer je een nieuwe account toevoegt.
Het probleem werd voor het eerst ontdekt door Heise.de en betekent dat als je een nieuwe account toevoegt, je Microsoft toegang geeft om elke e-mail die je verstuurt en ontvangt te lezen en te analyseren. Hoewel je op elk moment naar de eerdere versie van de app kunt gaan, zijn de gegevens al opgeslagen en gesynchroniseerd.
Hoe kun je je gegevens beschermen?
De beslissing om Microsoft te vertrouwen met jouw gegevens en het aan te wijzen als de bewaarplaats voor jouw meest persoonlijke en vertrouwelijke informatie, is volledig aan jou. Mocht je echter op zoek zijn naar alternatieven, dan verwelkomt vBoxx graag de kans om je kennis te laten maken met de producten en diensten die wij aanbieden.
vBoxx, gehost in Nederland, biedt een AVG-compliant oplossing voor gegevensopslag, delen en meer. Met een sterke toewijding aan het beschermen van privacy en het waarborgen van veiligheid bij elke online interactie, creëert vBoxx een digitale omgeving gebaseerd op vertrouwen. Dankzij een beveiligd hostingplatform, betrouwbare clouddiensten en een vertrouwde wachtwoordmanager is vBoxx jouw one-stop-shop voor digitale productiviteit en beveiligingsoplossingen. Bij vBoxx kun je erop vertrouwen dat jouw gegevens niet worden verkocht, gedeeld met derden of gebruikt voor ongeoorloofde doeleinden.
Geïnteresseerd? Neem gerust contact met ons op via onze contactpagina of bel ons! We laten je graag kennismaken met een wereld van volledige digitale privacy en veiligheid.
