Kínos biztonsági zavar a Microsoftnál: tálcán kínálták a belsős jelszavakat a weben

Orvosolt egy biztonsági mulasztást a Microsoft, mely a cég saját fájljait tette elérhetővé a nyílt weben – derül ki a TechCrunch cikkéből.

A problémára három biztonsági kutató – Can Yoleri, Murat Özfidan és Egemen Koçhisarlı – figyelt fel az SOCRadar kiberbiztonsági vállalattal közösen. Egy olyan, nyilvánosan elérhető Microsoft Azure szerverre bukkantak, ami a Bing keresőmotorral kapcsolatos belsős információkat tárolt.

A szerveren kódok, szkriptek és konfigurációs fájlok voltak, melyek jelszavakat, kulcsokat és egyéb hitelesítési adatokat tároltak. Ezeket a Microsoft alkalmazottai használták más más, belsős adatbázisok és rendszerek eléréséhez.

Gyakorlatilag a lábtörlőre rakták a biztonsági ajtó kulcsait.

A nyilvánosan hozzáférhető szervert ugyanis nem védte jelszó, bárki elérhette a weben. Egy rosszindulatú fél könnyedén felhasználhatta ezeket arra, hogy elérjen más, belsős Microsoft-adatokat tároló szervereket.

A kutatók február 6-án értesítették a Microsoftot a problémáról, a cég március 5-én biztosította a rendszereit.

Az nem ismert, hogy mennyi ideig volt nyilvános a szerver – és annak tartalma –, illetve, hogy a kutatókon kívül mások is felfigyeltek-e rá.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.