Microsoft-ansatte røper sensitive innloggingsdetaljer til selskapets egen Azure-baserte infrastrukture. Det melder nettstedet Motherboard, som har fått opplysningene bekreftet av Microsoft.
Det er snakk om tilgang til interne kontoer i foretakets egen Azure-baserte infrastruktur, som i vanvare er gjort tilgjengelig i kodeprosjekter på Github.
Mossab Hussein er direktør ved cybersikkerhetsselskapet Spidersilk, og eksperten bak det urovekkende funnet.
– Vi fortsetter å se at utilsiktede lekkasjer av kontoopplysninger i kildekode er en del av bedrifters angrepsflate, som blir stadig vanskeligere å avdekke. Dette er en stor utfordring for virksomheter i disse dager, konstaterer Hussein.
For noen år siden fant samme mann ut at også Samsung røpet sensitive data i sine kodeprosjekter, inkludert hardkodet innlogging til AWS-kontoer.
Rammet av datainnbrudd
Hussein har denne gang lagt fram syv eksempler på at Microsoft-ansatte eksponerer kontoer til selskapets egen infrastruktur. Samtlige er innlogging til Azure-servere, skriver Motherboard.
Microsoft ville ikke gå nærmere inn på hva slags ressurser som ble eksponert.
I en uttalelse vedgår de en utilsiktet lekkasje av kontoopplysningene, men at det ikke foreligger tegn på misbruk eller at sensitive data er lest av uvedkommende.
– Vi fortsetter med undersøkelser og tar nødvendige skritt for å unngå ytterligere utilsiktet deling av innloggingsdetaljer, skriver Microsoft i en uttalelse til Motherboard.
Tilbake i mars 2022 ble det kjent at en kriminell hackergruppe kalt Lapsus$ hevdet å ha brutt seg inn på Microsofts interne Azure devops-server og hentet ut 37 gigabyte med kildekode og interne dokumenter.
Microsoft bekreftet den gangen at gruppen hadde brutt seg in på én ansatt sin konto og slik klarte å skaffe seg det de kalte «begrenset adgang» til enkelte kodedepoter. De understreket samtidig at ingen kunders kildekode eller data var berørt.
Norsk IT-leverandør hacket: – Kommer ikke til å bruke én kalori på gjenoppretting
