Pracownicy firmy Microsoft przypadkowo ujawnili wewnętrzne dane uwierzytelniające za pośrednictwem GitHub

Pracownicy firmy Microsoft dostarczyli poufne dane uwierzytelniające, aby zalogować się do infrastruktury online firmy. Według Vice, wyciek został po raz pierwszy zgłoszony przez firmę badającą cyberbezpieczeństwo SpiderSilk , a później potwierdzony przez Microsoft. Zgodnie z artykułem ujawnione dane pochodziły od pracowników GitHub.

Mossab Hussein, dyrektor ds. bezpieczeństwa w firmie SpiderSilk zajmującej się cyberbezpieczeństwem, która odkryła problem, powiedział Vice, że coraz trudniej jest wykryć awarie kodu źródłowego i wycieki danych uwierzytelniających w odpowiednim czasie. Powiedział:

„Wciąż widzimy, że przypadkowy wyciek kodu źródłowego i poświadczeń jest częścią powierzchni ataku firmy i staje się coraz trudniejszy do zidentyfikowania w odpowiednim czasie i dokładnie. Jest to obecnie bardzo trudny problem dla większości firm”.

Azure, będąca usługą przetwarzania w chmurze firmy Microsoft, jest podobna do Amazon Web Services. Wyciek poświadczeń był powiązany z oficjalnym identyfikatorem klienta Microsoft. Identyfikator dzierżawy to unikatowy identyfikator skojarzony z określonym zestawem użytkowników platformy Azure.

Microsoft odmówił podania informacji o tym, które systemy zabezpieczają dane uwierzytelniające, gdy był o to kilkakrotnie pytany, powiedział Vice. W wyniku tego wycieku nie było dostępu do wrażliwych danych, a firma podjęła bezpieczniejsze środki zapobiegające udostępnianiu danych uwierzytelniających.

Źródło: Vice