Grupa zajmująca się cyberbezpieczeństwem o nazwie SOCRadar kilka miesięcy temu poinformowała Microsoft, że jeden z jego serwerów był otwarty dla każdego. W magazynie w chmurze Azure znajdowały się wrażliwe dane firmowe i nie był on nawet chroniony hasłem. Związane one były z silnikiem wyszukiwania Microsoft Bing.
Na serwerze znajdowały się wrażliwe dane, takie jak kod, skrypty oraz pliki konfiguracyjne zawierające hasła, klucze i dane uwierzytelniające używane przez pracowników Microsoftu do uzyskiwania dostępu do baz danych i systemów. Serwer nie był chroniony hasłem i każdy z otwartego Internetu mógł uzyskać do niego dostęp. Wystawione na świat zewnętrzny dane potencjalnie mogły umożliwić osobom o złych zamiarach (bad actors) uzyskanie dostępu także do innych miejsc, w których Microsoft przechowuje swoje wewnętrzne pliki. To z kolei mogłoby doprowadzić do bardziej znaczących wycieków danych, a nawet przejęcia usług.
Badacze poinformowali Microsoft o luce 6 lutego, a 5 marca firma zabezpieczyła pliki. Nie wiadomo, jak długo magazyn w chmurze pozostawał wystawiony na otwarty Internet ani czy ktokolwiek z SOCRadar odkrył w nim jakieś dane. Rzecznik Microsoft nie udzielił komentarza redakcji TechCrunch. Nie wiadomo też, czy zresetowano lub zmieniono jakiekolwiek wystawione poświadczenia.
Nie jest to pierwsza gafa tego typu w historii Microsoftu. W 2022 roku badacze odkryli, że jego pracownicy ujawniali swoje własne loginy do sieci firmowej w kodzie opublikowanym w GitHub. Gigant z Redmond był też krytykowany w zeszłym roku, gdy przyznał, że nie wiedział, w jaki sposób chińscy hakerzy wykradli wewnętrzny klucz podpisywania e-maili, który umożliwił im dostęp do skrzynek urzędników rządowych USA hostowanych przez Microsoft. Grono ekspertów cyberbezpieczeństwa uznało to za efekt kaskady porażek bezpieczeństwa w Microsoft.
W marcu firma powiedziała, że nadal odpiera trwający cyberatak, który umożliwił rosyjskim hakerom wspieranym przez państwo kradzież fragmentów kodu źródłowego Microsoftu oraz wewnętrznych e-maili jego kadry kierowniczej.
Źródło: https://techcrunch.com/2024/04/09/microsoft-employees-exposed-internal-passwords-security-lapse/
341f31d.png)