微軟某 Azure 伺服器竟無密碼保護!員工密碼憑證恐怕洩光光

2024-04-17 08:00:00    編輯: Evan
導讀 微軟前不久才因自家 Exchange Online 遭駭導致美國政府郵件系統被入侵,被美國網路安全審查委員會(US Cyber Safety Review Board)嚴厲抨擊。如今,微軟再度因為某...


微軟前不久才因自家 Exchange Online 遭駭導致美國政府郵件系統被入侵,被美國網路安全審查委員會(US Cyber Safety Review Board)嚴厲抨擊。如今,微軟再度因為某 Azure 專用伺服器毫無密碼保護,讓微軟員工個資安全成為媒體新焦點。 

微軟近年網路安全事件頻傳,2022 年爆發敏感登錄憑證被自己員工上傳到 GitHub 的荒唐事件。2023 年夏季,Exchange Onlie 被中國駭客入侵,存取美國政府電子郵件系統。4 月初,美國網路安全審查委員會發表審查報告,微軟本可避免自家軟體被駭,全因發展出「不重視企業安全投資和嚴格風險管理的企業文化」。

一連串事件似乎仍未喚醒微軟對網路安全的「重視」。網路安全公司 SOCRadar 三名安全研究人員發現,一台專門存放與微軟 Bing 搜尋引擎敏感資料的 Azure 伺服器竟然沒有任何密碼保護,任何人都可存取。

伺服器儲存許多程式碼、腳本與配置檔,含微軟員工存取其他資料庫與系統的密碼、金鑰與憑證,等於毫無保護完全曝露於公開網路。

更令人擔憂的是,駭客有可能利用這些資料,找出並存取微軟儲存重要檔案的其他區域,引發更大規模資料外洩,甚至讓服務遭更多入侵與劫持。

SOCRadar 安全研究人員 2 月 6 日通報微軟,微軟也餘 3 月 5 日加強保護措施。但不清楚伺服器處於毫無密碼保護狀態持續多久,也不清楚是否有其他安全研究員或攻擊者發現這安全疏忽與漏洞。

(首圖來源:)



關鍵字: , , , ,


標題:微軟某 Azure 伺服器竟無密碼保護!員工密碼憑證恐怕洩光光

地址:https://www.utechfun.com/post/358990.html

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

猜你喜歡