Pracownicy Microsoft przypadkowo ujawnili firmowe dane uwierzytelniania Azure

Pracownicy Microsoft przypadkowo ujawnili firmowe dane uwierzytelniania Azure

Autor: Krzysztof Sulikowski

Opublikowano: 8/17/2022, 7:30 PM

Liczba odsłon: 1431

Pracownicy Microsoftu nieumyślnie wystawili na widok publiczny wrażliwe dane uwierzytelniające do firmowej infrastruktury online. Wyciek jako pierwsza zgłosiła firma spiderSilk, a później potwierdził go Microsoft. Ujawnione dane logowania do Azure znalazły się w GitHub.

Mossab Hussein, Chief Security Officer w spiderSilk, firmie zajmującej się cyberbezpieczeństwem, przyznał, że coraz trudniej jest zidentyfikować na czas wpadki w kodzie źródłowym i wycieki danych uwierzytelniających. Na blogu firmy czytamy:

Ciągle widzimy, że przypadkowe wycieki kodu źródłowego i poświadczeń są częścią powierzchni ataku firmy i coraz trudniej jest je zidentyfikować w odpowiednim czasie i odpowiednio dokładnie. Jest to obecnie bardzo trudne zagadnienie dla większości firm.

Wyciekłe dane uwierzytelniające były powiązane z oficjalnym ID dzierżawy ("tentant") Microsoftu. Jest to unikatowy identyfikator powiązany z określonym zestawem użytkowników Azure. Jak podaje Vice, które opisało sprawę, Microsoft odmówił wyjaśnienia, jakie systemy chroniły dane uwierzytelniające. Dlatego też żadne niepowołane osoby nie uzyskały dostępu do poufnych danych, a firma wprowadziła dodatkowe kroki, by zapobiec udostępnianiu poświadczeń w przyszłości.