微软工程师不慎将公司敏感登录凭据暴露到Github上 目前已经被撤销
山外的鸭子哥 将私钥或密码之类的信息暴露在 Github 上并不是新鲜事儿,在过去几年经常有黑客通过在 Github 上检索特定关键词来获得机密信息,从而完成攻击。
只是没想到微软工程师也能将敏感凭据泄露,相关敏感凭据是微软自己在 Microsoft Azure 上使用的凭据,但微软拒绝透露这些凭据涉及微软的哪些业务系统。
最先发现这些凭据的是网络安全公司 spiderSilk,发现这些凭据后该公司立即联系微软,随后微软撤销凭据。
spiderSilk 向 Motherboard 展示 7 个 Microsoft Azure 服务器的登录示例,暴露的凭据都与微软自己使用的租户 ID 相关联,每个 ID 相当于一组特定的 Azure 用户唯一标识符。
当 spiderSilk 发现这些凭据的时候其中 4 个凭据是失效的,3 个凭据可以登录微软服务器,只是不知道在 spiderSilk 发现之前有没有黑客已经找到这些凭据登录微软服务器。
微软接受 Motherboard 询问时承认凭据泄露是真的,但微软拒绝说明这些凭据属于哪些系统,也没有解释公司内部如何保护这些凭据的。
通常情况下黑客找到这些凭据都会将关联的服务器或设备当做入口,进入内网后寻找更有价值的目标潜伏起来,所幸被发现的还算及时微软已经开启在内部进行安全审查采取必要措施确保内部环境安全。
