Microsoft çalışanı gibi görünen birden fazla kişi, hassas oturum açma kimlik bilgilerini şirketin GitHub’daki kendi bölümünde yayınladı. Bu kimlik bilgilerini bulan bir siber güvenlik araştırma firmasına göre, saldırganlara dahili Microsoft sistemlerine bir ağ geçidi sunma potansiyeli taşıyor.
Olayı SpiderSilk adlı bir siber güvenlik firması ortaya koydu. Yorumlarına göre, birkaç Microsoft çalışanı güvenlik uygulamalarını iyi takip etmedi ve GitHub’da hassas oturum açma kimlik bilgilerini açığa çıkarmayı başardı. SpiderSilk’in baş güvenlik uzmanı Mossab Hussein şöyle tweetledi :
GitHub’ın sahibi olan Microsoft, olayı doğruladı. Açıkta kalan kimlik bilgilerinin Microsoft’un bulut hizmeti olan Azure için olduğu belirtiliyor. Hepsi resmi bir Microsoft kimliğine bağlıydı ve SpiderSilk bunları keşfettiğinde bazıları hala etkindi. Bir Microsoft sözcüsü, yetkisiz erişime dair bir kanıt olmadığını ve şirketin kimlik bilgilerinin daha fazla yanlışlıkla paylaşılmasını önlemek için hemen adımlar attığını açıkladı.
Doğal olarak Microsoft, açığa çıkan kimlik bilgileri aracılığıyla hangi dahili sistemlere erişilebileceğini açıklamadı. En azından teorik olarak, bir saldırgan bir kez ilgi çekici bir noktaya eriştiğinde, kurumsal altyapıda yatay veya dikey olarak hareket edebilir. Örneğin, hizmetler arasında sorunsuz entegrasyon sağlayan makineler arası kimlik bilgileri, bazen bir kuruluşun sistemlerine neredeyse sınırsız erişim sağlayabilir.
Mart ayındaki saldırganların görünüşte ilgisiz bir saldırıda bu tür kimlik bilgilerinin oluşturabileceği riskin nereye gideceğini göstermişlerdi. Bir Azure DevOps hesabına erişim kazandılar ve ardından Bing ve Microsoft’un Cortana asistanı da dahil olmak üzere büyük miktarda Microsoft kaynak kodu yayınladılar.
SpiderSilk’in güvenlik şefi Mossab Hussein şöyle yorum yaptı :
“Kazayla sızan kaynak kodu ve kimlik bilgilerinin, şirketlere saldırı için olanak sağladığını görmeye devam ediyoruz ve zamanında ve doğru bir şekilde tespit edilmesi giderek daha zor hale geliyor. Bu, Bugünlerde çoğu şirket için çok zorlu bir konu.”
Son bir kaç yıldır, SpiderSilk araştırmacıları, büyük birSamsung veri sızıntısı,geliştiriciler tarafından yüklenenWeWork müşterilerinin kişisel bilgileri ve sızdırılmış birElectronic Arts Slack kanallarılistesi dahil olmak üzere çeşitli güvenlik olayları hakkında rapor verdiler .
Microsoft, her gün trilyonlarca tehdit sinyalini analiz edebilen 15 milyar $’lık devasa bir siber güvenlik şirketi kurdu. Bununla birlikte, yanlışlıkla kaynak kodu sızıntıları ve kimlik bilgilerinin açığa çıkması riskleriyle başa çıkmakta zorluk çekiyor. Bir siber güvenlik firmasına göre, bu hibrit çalışma çağında şirketlerin karşılaştığı ana zorluklardan biri.