antenope
Goto Top

Prinzipielles Missbrauchspotential bei Microsoft-Accounts?

Hallo zusammen,
mir ist die Tage etwas "seltsames" bei Microsoft aufgefallen und wollte mal eure Meinung dazu lesen.

Grundlegend kann man sich ja bei Microsoft mit einer bestehenden E-Mail-Adresse (z.B. info(at)test.bla) einen Microsoft Account erstellen. Man wird aufgefordert die Mail zu verifizieren und kann im weiteren Verlauf diese als Alias zum Versenden von Mails über outlook.com verwenden.
Unter den Konto-Einstellungen kann man zudem neben einer Rufnummer auch eine andere Mail-Adresse als Kontakt-Adresse festlegen (z.B. Sicherheits-Codes oder zum Zurücksetzten von Kennwörtern).
Gut, so viel zu den aktuellen Gegebenheiten eines Microsoft-Kontos.

Hier nun wie ich auf das "Problem" aufmerksam wurde:
Ich wollte die Tage für einen Kunden neue Office-Tokens einlösen. Zugangsdaten waren natürlich keine vorhanden und zudem war nicht einmal bekannt ob er überhaupt ein Konto hat. Nunja, verständlich, wozu auch? Nunja, kein Problem, einfach mal versuchen ein neues Konto anzulegen mit info(at)test.bla, falls ja eines vorhanden ist, sollte das ja nicht funktionieren und dann könnte man ja einfach das Kennwort zurücksetzten lassen =D . Wie erwartet wird man darauf hingewiesen, dass es dieses Konto bereits gibt. Also über den Weg Passwort zurücksetzten, Konto eintippen und Mail wird zugeschickt. Tya denkste! Die kommt aber blöder Weise nicht an! ...

Nach längerem hin und her mit Microsoft, ist folgendes Fakt:
  • Zum Versenden des Codes / Links zur Neuvergabe eines Passwortes, wird die hinterlegte "Kontakt-Adresse" verwendet, nicht die eigentliche Alias (macht auch Sinn für Konten mit Domain bei Microsoft)
  • Der Microsoft Support kann weder über das System noch manuell den Code an die Alias-Adresse (info(at)test.bla) verschicken
  • Man soll über die "Erweiterte Wiederherstellung" ein Formular ausfüllen und weitere Daten angeben (z.B. Geburtsdatum, Kontakt-Mail-Adresse, wann der Account zum letzten Mal und wozu verwendet wurde, ob Käufe getätigt wurden, usw.), dieses würde dann geprüft

Hat man diese Informationen nicht, bzw. keinen Zugriff auf die hinterlegte Kontakt-Mail-Adresse, hat man keine Möglichkeit auf das Konto Zugriff zu erlangen. Und das obwohl man der Eigentümer der verwendeten Account-Alias ist!
Soweit hört sich das ja nun auch zunächst korrekt an, richtig? Wie komme ich jetzt auf das erwähnte Missbrauchspotential?


Hier liegt der Hund begraben:

Mir fallen folgende Möglichkeiten ein:
a) jemand hatte Zugriff auf das Alias-Postfach (info(at)test.bla) und hat sich ein Microsoft-Konto damit erstellt und seine Spuren verwischt (MS-Mails gelöscht)
b) ein Mitarbeiter hat sich ein MS-Konto auf der Adresse erstellt und ist nun nicht mehr im Unternehmen
c) jemand hat sich eine Domain gekauft, die bereits vorher jemand anderem gehört hat, der auf typischen Adressen einen oder mehre Mircosoft-Accounts erstellt hat

In allen Fällen kann vom Microsoft-Konto aus Mails mit der Alias versendet werden. Sofern der Empfänger einen vorhandenen SPF-Eintrag auswertet und anwendet oder im Quelltext der Nachricht nachschaut, sieht die Mail aus wie vom Alias gesendet. Damit könnte man schon beträchtlichen Schaden anrichten.

Nun nun das irrwitzige. Als Inhaber der Mail oder Domain kann man nichts dagegen unternehmen, weil man weder Zugriff auf den Account bekommen oder diesen löschen lassen kann. Da man schlicht die eingegebenen Daten nicht kennt ...

Was meint ihr dazu? Ist der aktuelle Prozess so korrekt und sehe ich ein Problem wo keines ist, oder ist dies tatsächlich ein prinzipielles Problem? Bin auf die Diskussion gespannt =)

Content-Key: 395995

Url: https://administrator.de/contentid/395995

Printed on: April 18, 2024 at 05:04 o'clock

Mitglied: 129580
129580 Dec 18, 2018 updated at 14:11:17 (UTC)
Goto Top
Hallo,

a) jemand hatte Zugriff auf das Alias-Postfach (info(at)test.bla) und hat sich ein Microsoft-Konto damit erstellt und seine Spuren verwischt (MS-Mails gelöscht)

Wenn eine Unbefugte Person Zugriff auf euer Mailpostfach hatte, dann ist sowieso Game Over. Was kann Microsoft dafür?
Für die Sicherheit euerer Postfächer seit ihr verantwortlich...

b) ein Mitarbeiter hat sich ein MS-Konto auf der Adresse erstellt und ist nun nicht mehr im Unternehmen

Dann kannst du doch das Passwort einfach zurücksetzen? Euch gehört ja das Postfach.

b) jemand hat sich eine Domain gekauft, die bereits vorher jemand anderem gehört hat, der auf typischen Adressen einen oder mehre Mircosoft-Accounts erstellt hat

Nunja das ist eben ein grundsätzliches Problem. Wenn man eine Domain abgibt bzw. nicht mehr verlängert und somit dem Markt freigibt, dann muss man eben auch schauen, dass die E-Mail Adresse bei sämtlichen Konten geändert wird. Das obliegt dem Inhaber des Accounts - nicht dem Betreiber des Dienstes.

Gleiches gilt auch für Anschriften wenn man umzieht.

Viele Grüße
Exception
Member: anteNope
anteNope Dec 18, 2018 updated at 14:48:01 (UTC)
Goto Top
Wenn jemand unbefugtes Zugriff auf euer Mailpostfach hatte, dann ist sowieso Game Over. Was kann Microsoft dafür? Für die Sicherheit euerer Postfächer seit ihr verantwortlich...

Das war auch mein erster Gedanke, aber unabhängig davon WIE es möglich war, sollte man die Möglichkeit haben den Account zu übernehmen oder zu löschen, oder zumindest die Alias entfernen zu lassen.

Dann kannst du doch das Passwort einfach zurücksetzen? Euch gehört ja das Postfach.
Korrekt, nur wenn derjenige die Kontakt-Adresse des Accounts auf eine andere beliebige! Adresse ändert, geht das eben nicht ;)

Wenn man eine Domain abgibt bzw. nicht mehr verlängert und somit dem Markt freigibt, dann muss man eben auch schauen, dass die E-Mail Adresse bei sämtlichen Konten geändert wird. Das obliegt dem Inhaber des Accounts - nicht dem Betreiber des Dienstes.

Du betrachtest das von der falschen Seite, du musst von der Seite des Käufers gucken. Der kann ja schlicht nicht wissen wofür die Domain bzw. deren Mails und besonders welche Mails für was auch immer verwendet wurden. ;)
Member: Lochkartenstanzer
Lochkartenstanzer Dec 18, 2018 at 14:11:14 (UTC)
Goto Top
Zitat von @anteNope:

In allen Fällen kann vom Microsoft-Konto aus Mails mit der Alias versendet werden. Sofern der Empfänger einen vorhandenen SPF-Eintrag auswertet und anwendet oder im Quelltext der Nachricht nachschaut, sieht die Mail aus wie vom Alias gesendet. Damit könnte man schon beträchtlichen Schaden anrichten.

Ganz einfach: Kontrolle über die eigene Domain bewahren, Mailserver inhouse halten udn SPf-Einträge korrekt setzen. dann ist der Sender über Microsoft dann halt ein Spammer. face-smile

lks

PS: Einfach bei Microsoft eine Beschwerde einkippen, daß von diesem Account gespammt wird und sie diesen abschalten sollen, da dieser nicht unter Eurer Kontrolle ist. Ansonsten mit einer Klage drohen. face-smile
Member: anteNope
anteNope Dec 18, 2018 at 14:16:05 (UTC)
Goto Top
Ganz einfach: Kontrolle über die eigene Domain bewahren, Mailserver inhouse halten udn SPf-Einträge korrekt setzen. dann ist der Sender über Microsoft dann halt ein Spammer.
Auch das ist korrekt! Worauf ich aber hinweisen wollte ist, dass es dem Empfänger obliegt die SPF-Einträge auszuwerten und anzuwenden ;)

Einfach bei Microsoft eine Beschwerde einkippen, daß von diesem Account gespammt wird und sie diesen abschalten sollen, da dieser nicht unter Eurer Kontrolle ist. Ansonsten mit einer Klage drohen.

Könnte ggf. funktionieren, falls man sich dessen tatsächlich bewusst wäre und hinreichende Beweise hätte ;)
Member: St-Andreas
St-Andreas Dec 18, 2018 at 15:27:48 (UTC)
Goto Top
Hallo,

grundsätzlicher, "leicht Offtopic"-Tip: Für so etwas immer einen eigenen Alias anlegen und nutzen.
Member: Xerebus
Xerebus Dec 18, 2018 at 15:50:59 (UTC)
Goto Top
Aehm.
Absender Adressen lassen sich schon immer faken. Das ist nur komplizierter über MS Mail.
Member: anteNope
anteNope Dec 18, 2018 at 18:24:57 (UTC)
Goto Top
grundsätzlicher, "leicht Offtopic"-Tip: Für so etwas immer einen eigenen Alias anlegen und nutzen.

Absender Adressen lassen sich schon immer faken. Das ist nur komplizierter über MS Mail.

Das ist schon alles klar. Mir geht es eher darum, dass man ein Konto mit einer Alias von einer eigenen Domain, nicht zurücksetzten lassen oder den Alias entfernen kann, sobald eine andere Kontakt-Adresse (die abweichend von der Login-Adresse sein kann) gesetzt ist.

Sprich selbst wenn info@test.bla dir gehört, kann man keinen Zugriff darauf erlangen.

Das finde ich doch leicht fragwürdig und unter gewissen Umständen problematisch!