Microsoft la të ekspozuar fjalëkalimet e brendshme në gabimin më të fundit të sigurisë
Microsoft thuhet se mbylli një server muajin e kaluar që ekspozonte fjalëkalimet, çelësat dhe kredencialet e punonjësve të Microsoft në internetin e hapur, pasi kompania përballet me presion në rritje për të forcuar sigurinë e softuerit të saj.
Sipas Techcrunch, tre studiues të sigurisë në SOCRadar – një kompani e specializuar në zbulimin e dobësive të sigurisë kibernetike të korporatave – zbuluan se një server i strehuar nga Azure që ruan të dhëna të ndjeshme të lidhura me motorin e kërkimit Bing të Microsoft-it mbeti i hapur pa mbrojtje me fjalëkalim, që do të thotë se mund të aksesohej nga kushdo. online. Serveri përmbante një sërë kredencialesh sigurie të përdorura nga punonjësit e Microsoft për të hyrë në sistemet e brendshme, të vendosura brenda skripteve të ndryshme, kodeve dhe skedarëve të konfigurimit.
Një nga studiuesit, Can Yoleri, i tha Techcrunch se hakerat mund t’i përdorin këto të dhëna të ekspozuara për të gjetur dhe aksesuar zona të tjera ku Microsoft ruan të dhëna të brendshme, të cilat “mund të rezultojnë në rrjedhje më të rëndësishme të të dhënave dhe ndoshta të komprometojnë shërbimet në përdorim”.
Microsoft u njoftua për dobësinë më 6 shkurt dhe e mbylli atë deri më 5 mars. Është e paqartë nëse dikush tjetër ka hyrë në serverin e ekspozuar gjatë kësaj kohe. “Ne kemi kontaktuar me Microsoft për koment dhe do ta përditësojmë këtë histori nëse dëgjojmë përsëri.
Microsoft është përballur me disa fatkeqësi të sigurisë kibernetike në vitet e fundit dhe aktualisht është në proces të rishikimit të praktikave të tij të sigurisë . Në fillim të këtij muaji, një rishikim nga Bordi i Rishikimit të Sigurisë Kibernetike të SHBA-së tha se Microsoft mund të kishte parandaluar një shkelje në softuerin e tij Exchange Online që lejoi hakerat kinezë të hynin në sistemet e postës elektronike të qeverisë amerikane në vitin 2023, duke akuzuar gjigantin e teknologjisë për zhvillimin e një “kulture të korporatës që zhvlerësonte përparësitë”. investimet e sigurisë së ndërmarrjes dhe menaxhimi rigoroz i rrezikut.” Një tjetër incident në vitin 2022 pa kredencialet e ndjeshme të hyrjes për sistemet e Microsoft duke u ngarkuar nga punonjësit e tij në GitHub.