Корпорация Microsoft исправила ошибку в своей системе безопасности, которая привела к непреднамеренному разглашению внутренних файлов и учетных данных в интернете. Команда исследователей по кибербезопасности из SOCRadar, включая Кана Йолери, Мурата Озфидана и Эгемена Кочисарли, обнаружила открытый сервер хранения данных в облаке Microsoft Azure, где хранилась конфиденциальная информация, связанная с поисковой системой Bing. Этот сервер содержал код, скрипты и файлы конфигурации с паролями, ключами и учетными данными, используемыми сотрудниками Microsoft для доступа к другим внутренним базам данных и системам. Однако сам сервер не был защищен паролем, что означало, что любой человек в интернете мог получить к нему доступ.
Йолери отметил, что эти утечки данных могут помочь злоумышленникам определить другие места хранения внутренних файлов Microsoft, что может привести к более крупным утечкам и возможному компрометации сервисов. Ошибка была обнаружена и сообщена Microsoft 6 февраля, а компания закрыла доступ к файлам 5 марта.
Представитель Microsoft, Джефф Джонс, отметил, что хотя данные не должны были быть доступны вообще, они были временными и доступными только из внутренних сетей, и были отключены после тестирования. Он выразил благодарность исследователям за обнаружение и ответственное отношение к проблеме.
По словам Джонса, на данный момент неизвестно, как долго сервер был открыт для доступа и обнаружены ли данные кроме SOCRadar. Это последнее инцидент в серии проблем с безопасностью, с которыми сталкивается Microsoft, что подрывает доверие клиентов.
В прошлом году Microsoft столкнулась с нападками после утечки внутреннего ключа подписи электронной почты, позволившего хакерам получить доступ к почтовым ящикам высокопоставленных чиновников правительства США. В результате независимый совет экспертов по кибербезопасности выявил целый ряд сбоев в системе безопасности Microsoft.
В марте Microsoft заявила о продолжающемся противостоянии кибератакам, включая атаки российских хакеров, укравших часть исходного кода и внутреннюю электронную почту. Генеральный директор Microsoft, Сатья Наделла, призвал США, Россию и Китай объединиться для защиты от кибератак и выразил надежду на достижение соглашения о киберконвенции в Женеве.