根据网络安全研究公司 spiderSilk 近日的报告,多名来自微软的员工在 GitHub 上暴露了自己在公司内部的敏感登录凭证,可能为攻击者提供了进入微软内部系统的途径。
spiderSilk 的首席安全官 Mossab Hussein 表示,“意外的源代码和敏感凭证泄露已经成为很多公司遭遇攻击的一大原因,这些攻击也越来越难以及时和准确地识别。对于现在的大多数公司来说,这是一个非常具有挑战性的问题。”
spiderSilk 在此次安全事件中总共发现了 7 个暴露的微软内部登陆凭证,所有这些都是 Azure 服务器的凭证。所有暴露的凭证都与微软的官方 tenant ID 有关,tenant ID 是与一组特定的 Azure 用户相关联的唯一标识符。当 spiderSilk 发现这 7 个登录凭证时,其中有 3 个仍处于激活状态,其中一个还是在几天前刚刚上传的。虽然其他 4 个凭证不再处于活跃状态,但仍然凸显了员工意外上传内部系统凭证的风险。
此后,微软官方也进一步证实了这些数据的暴露。微软发言人表示:"我们已经进行了调查,并采取了行动来保护这些证书。虽然它们是无意中被公开的,但我们没有看到任何证据表明敏感数据被访问或凭证被不当使用。我们正在继续调查,并将继续采取必要的措施,进一步防止无意中分享凭证"。
其实在今年 3 月份的一次黑客攻击中,攻击者就曾获得了对 Azure DevOps 账户的访问权,然后窃取了约 40GB 的微软源代码,其中包括 Bing 和微软的 Cortana 助手的相关代码。可能也正是因为这些泄漏事件频繁发生,才致使微软、苹果和 Google 联合一起推动 FIDO,使用户无需使用密码即可登录各种服务。