【資安新聞-TechNews】
微軟某 Azure 伺服器竟無密碼保護!員工密碼憑證恐怕洩光光
微軟近年網路安全事件頻傳,2022 年爆發敏感登錄憑證被自己員工上傳到 GitHub 的荒唐事件。2023 年夏季,Exchange Onlie 被中國駭客入侵,存取美國政府電子郵件系統。4 月初,美國網路安全審查委員會發表審查報告,微軟本可避免自家軟體被駭,全因發展出「不重視企業安全投資和嚴格風險管理的企業文化」。
伺服器儲存許多程式碼、腳本與配置檔,含微軟員工存取其他資料庫與系統的密碼、金鑰與憑證,等於毫無保護完全曝露於公開網路。
SOCRadar 安全研究人員 2 月 6 日通報微軟,微軟也餘 3 月 5 日加強保護措施。但不清楚伺服器處於毫無密碼保護狀態持續多久,也不清楚是否有其他安全研究員或攻擊者發現這安全疏忽與漏洞。
詳細資訊請參考:https://infosecu.technews.tw/2024/04/17/microsoft-left-internal-passwords-exposed-in-latest-security-blunder/
沒有留言:
張貼留言