Een bedrijf als Microsoft zou haar verandwoordelijkheden wel eens wat serieuzer mogen gaan nemen. Het gaat hier wel even om UW en MIJN persoonlijke gegevens. "Lead by example" lijkt niet binnen de bedrijfscultuur van Microsoft te passen, maar aan de andere kant verplichten ze ons wel om te registreren en een passport aan te maken om van bepaalde diensten gebruik te mogen maken.

Zal ik als bedrijf ook maar eens zulke strategiën gaan bezigen? Hoe lang denk je dat mijn bedrijf nog bestaat? Ik vind het onvoorstelbaar hoe wij massaal gehoor geven aan de eisen van mijnheer Gates en consorten. Ik doe UIT PRINCIPE al niet mee aan MSN en ik probeer alle andere zaken zoveel mogelijk bij andere bedrijven te deponeren. Als wij met zijn allen zo door gaan kunnen we straks niet eens meer internetten zonder dat Microsoft dat weet en daar ook nog iets over te vertellen heeft.

Het lekken van de informatie is maar weer het zoveelste voorbeeld waarom we hier ALLEMAAL nog eens goed over moeten beraden of we dit bedrijf onze gegevens wel toevertrouwen.

(Ik wordt de hele ochtend al gek geprobe't. Er lijkt weer een nieuw virus in omloop of zo.)

En ik dacht dat MS tegen de pers verteld had dat ze serieuzer gingen kijken naar security omdat ze in de toekomst meer willen gaan samenwerken met de overheden enzo. Voor MS geen goede manier om daarmee te beginnen.

Microsoft is niet goed bezig zo!

Trustworthy Computing noemen ze dat dan.

De security policy was OK, want die verbiedt het plaatsen van vertrouwelijke bestanden. De toepassing ervan was duidelijk niet OK. De server werd gebruikt voor communicatie met klanten, maar ook met partners en met Microsoft medewerkers zelf.

Microsoft heeft een andere ftp server die met user en password is beschermd, waarvoor een account moet worden aangevraagd. Kennelijk vond een aantal Microsoft medewerkers dat te veel moeite of waren ze er niet van op de hoogte.

Die 7,5 miljoen adressen is ook nog niet alles, er stonden Exchange message stores op de server afkomstig van klanten van Microsoft. Het lijkt mij niet prettig dat iedereen alle interne correspondentie van een organisatie kan bekijken.

Het open zijn van de ftp server is niet per se aan een verkeerde instelling te wijten. Het zou ook mogelijk zijn dat de software zelf corrupt is geraakt, uit zichzelf of door beinvloeding van buiten. Aanwijzing daarvoor is het hard verbreken van de connectie direct na het opgeven van de bepaalde ftp opdrachten.

http://www.theinquirer.net/?article=6284
(video van Steve B.)
http://www.internetwk.com/breakingNews/INW20021122S0002
http://online.securityfocus.com/news/1714
http://www.techtv.com/news/security/story/0,24195,3408624,00.html
http://www.geek.com/news/geeknews/2002Nov/gee20021121017417.htm
http://www.extremetech.com/article2/0,3973,717049,00.asp
http://www.wired.com/news/infostructure/0,1377,56481,00.html

Zulke fouten komen voor in grote organisaties (en Microsoft is een Grote Organisatie!). Het ligt waarschijnlijk niet direkt aan de voorgeschreven procedures als security policies. Reken maar dat het uitgeven van klantgegevens via een publieke FTP server, in dat document is ingedekt... Het probleem ligt eerder bij medewerkers en mogelijk bij (mis)communicatie. Mogelijk is de interne controle niet helemaal correct.