Ein Hackerangriff auf Nutzer von Microsofts E-Mail-Dienst Outlook dürfte deutlich schlimmer verlaufen sein, als vom Unternehmen zunächst dargestellt. Unbekannte konnten auch auf Mail-Inhalte von betroffenen Usern zugreifen.
Am Freitag hatten Outlook-Nutzer von Microsoft eine Warnung erhalten. Darin wurden Betroffene über mögliche missbräuchliche Zugriffe auf ihre E-Mail-Konten informiert, zwischen 1. Januar und 28. März 2019. Microsoft liess verlauten, dass dies nur «einige» Konten betraf und der Inhalt von E-Mails und Anhängen nicht offengelegt worden sei.
Laut einem Bericht von Motherboard war das Problem allerdings «viel schlimmer» als von Tech Crunch und Co. berichtet. Die Hacker seien in der Lage gewesen, auf E-Mail-Inhalte einer grossen Anzahl von Outlook-, MSN- und Hotmail-Konten zuzugreifen. Dies verriet ein Informant den «Vice»-Journalisten und stellte ihnen Screenshots zur Verfügung. Microsoft bestätigte daraufhin gegenüber Motherboard, dass Hacker auch Zugriff auf den Inhalt von E-Mails einiger Kunden hatten.
Der Fall wirft Fragen auf zur Krisenkommunikation des weltweit dominierenden Windows-Konzerns.
Der Outlook-Anbieter versuchte nach Bekanntwerden der Warnungen zu beschwichtigen und die Probleme als nicht sehr gravierend darzustellen. Als diese Schadenbegrenzung durch den Motherboard-Bericht widerlegt wurde, räumte das Unternehmen gegenüber The Verge ein:
Microsoft's Outlook hack is worse than it originally warned.https://t.co/nVpmGkhNa4
— CNET (@CNET) 15. April 2019
Das Ausmass lässt sich nicht abschätzen.
Microsoft Schweiz betont auf Anfrage, dass es sich bei den betroffenen Konten nicht um Geschäftskunden-Konten handle.
Die Zahl der Betroffenen will das Unternehmen nicht verraten.
Laut Motherboard sollen die Hacker die Schwachstelle unter anderem dafür genutzt haben – um mit der Hilfe der abgegriffenen Outlook-Daten bei gestohlenen iPhones den Diebstahlschutz (iCloud Activation Lock) zu entfernen.
Als Reaktion auf das Datenleck warnte Microsoft die betroffenen Personen davor, auf Phishing-E-Mails zu achten, und empfahl ihnen, ihr Passwort zu ändern.
In einem Blogbeitrag vom April teilte das Unternehmen vor wenigen Tagen mit, dass es allein im Februar rund 300'000 Phishing-Versuche gegeben habe. Viele stünden in Zusammenhang mit dem «Tax Day» in den USA, dem Ablauf der Frist für das Einreichen der Steuererklärung.
