Microsoft | Heslo | Únik dat

Žádný hack, ale nepozornost. Microsoftu na GitHub unikly přihlašovací údaje k interním systémům

Kyberbezpečnostní firma spiderSilk na svém blogu informovala, že několik zaměstnanců Microsoftu nahrálo na GitHub citlivé přihlašovací údaje do interních systémů. Jednalo se například o přihlášení k serverům cloudové služby Azure.

Bezpečnostní experti spiderSilku v minulosti odhalili například seznam kanálů Slack patřících společnosti Electronic Arts, osobní údaje zákazníků poskytovatele coworkingových prostor WeWork nahrané vývojáři či hesla uživatelů, která unikla nizozemskému vydavatelství Elsevier.

Hesla vystavená na GitHubu

Ředitel pro bezpečnost Mossab Hussein poskytl serveru Motherboard sedm příkladů odhalených údajů. Všechna přihlašovací jména byla spojena s ID uživatele, které je jedinečným identifikátorem spojeným s určitou sadou uživatelů služby Azure.

Tři ze sedmi přihlašovacích údajů byly v době, kdy je spiderSilk objevil, stále aktivní, přičemž jeden z nich byl nahrán teprve před několika dny. Další čtyři sady přihlašovacích údajů již aktivní nebyly, ale přesto upozornily na riziko, že zaměstnanci mohou omylem nahrát klíče pro interní systémy.

Jeden z profilů s vystavenými a aktivními pověřeními odkazuje na úložiště kódu Azure DevOps. Riziko, které mohou takové přihlašovací údaje představovat, podtrhuje březnový hackerský útok, kdy útočníci získali přístup k účtu Azure DevOps a poté zveřejnili zdrojové kódy služby Bing a hlasové asistentky Microsoft Cortana.

Ke zneužití prý nedošlo

Mluvčí Microsoftu k incidentu uvedl: „Prošetřili jsme to a přijali opatření k zabezpečení těchto pověření. Přestože byly neúmyslně zveřejněny, nezaznamenali jsme žádné důkazy o tom, že by došlo k přístupu k citlivým údajům nebo k neoprávněnému použití pověření. Pokračujeme ve vyšetřování a budeme i nadále podnikat nezbytné kroky, abychom dále zabránili neúmyslnému sdílení pověření.“

Dle dostupných, ale Microsoftem nepotvrzených informací stojí za únikem více zaměstnanců, kteří patrně nedodrželi předepsané bezpečnostní postupy. Lze ale předpokládat, že zveřejnění přihlašovacích údajů nebylo úmyslné.

Diskuze (2) Další článek: TSMC za měsíc rozjede 3nm výrobu čipů. Na ni si brousí zuby Apple

Témata článku: , , , , , , , , , , , , , , , , , , ,