Microsoft устранила ошибку в системе безопасности, из-за которой внутренние файлы и учетные данные были публично доступны в интернете.
Утечку обнаружили специалисты из компании SOCRadar, которые нашли открытый и публично доступный сервер для хранения данных, размещенный в облаке Microsoft Azure. На сервере хранилась внутренняя информация, связанная с поисковой системой Microsoft Bing.
В частности, исследователи обнаружили код, скрипты и файлы конфигурации, содержащие пароли, ключи и учетные данные, которыми сотрудники Microsoft пользовались для доступа к другим внутренним БД и системам. При этом подчеркивается, что сервер не был защищен паролем, то есть доступ к нему мог получить любой желающий.
Эксперты говорят, что случайно раскрытые данные могли помочь злоумышленникам найти или получить доступ к другим ресурсам, где Microsoft хранит свои внутренние файлы. В итоге это «могло привести к более значительной утечке данных и, вероятно, полностью скомпрометировать используемые сервисы».
Исследователи уведомили Microsoft о найденной утечке 6 февраля 2024 года, и 5 марта Microsoft устранила проблему.
Представители Microsoft дали изданию TechCrunch следующий комментарий:
«Хотя учетные данные не должны были попасть в открытый доступ, они были временными, доступными только из внутренних сетей, и были деактивированы после тестирования. Мы благодарим наших партнеров за ответственное сообщение об этой проблеме».
В компании не уточнили, как долго облачный сервер был открыт для всех желающих, и не обнаружил ли вышеупомянутые данные кто-то еще, помимо экспертов SOCRadar.