多名微软员工在GitHub 上不慎泄露公司的内部登录凭据

admin 2022年8月20日01:17:18安全新闻评论1 views1348字阅读4分29秒阅读模式

多名微软员工在GitHub 上不慎泄露公司的内部登录凭据 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


网络安全公司spiderSilk发现,疑似多名微软员工将公司的基础设施的敏感登录凭据暴露在 GitHub 上,可能导致攻击者攻陷微软内部系统。


微软证实了这起数据泄露事件。SpiderSilk公司的研究指出,“我们仍看到偶发的源代码和凭据泄露是企业攻击面的一部分,及时准确地识别它们变得越来越难。这对于当前多数企业而言是一个非常具有挑战性的问题。”该网络安全公司此前曾发现了 Electronic Arts 的 Slack 通信的暴露清单;WeWork 开发人员上传的 WeWork 客户的个人信息以及教育巨头Elsevier 暴露的用户密码。

Hussein 向媒体 Motherboard 共提供了7个被暴露的微软登录凭据。所有这些凭据均用于 Azure 服务器。Azure 是微软的云计算机服务,类似于亚马逊的Web Services。所有被暴露凭据均与一个官方的微软租户ID相关联。租户ID是与特定的 Azure 用户关联的唯一标记符。其中一名 GitHub 用户也在自己的资料中列出了微软。

其中三个登录凭据在spiderSilk 发现之时仍然活跃,一个似乎是本文发表的几天前上传的。其它四组凭据虽然不再活跃但仍然凸显了员工不慎上传内部系统密钥带来的风险。

微软并未详述这些凭据所保护的系统。但一般而言,攻击者在获得对内部系统的初始访问权限后可能有机会转移到其它感兴趣的点。

含有被暴露且活跃凭据的其中一个 GitHub 资料提到了 Azure DevOps代码库。此类凭据可能造成的风险可参照三月份发生的另外一起入侵事件。攻击者获得对Azure DevOps 账户的访问权限,之后发布大量微软源代码,其中包括必应和微软的 Cortana 助手的源代码。

就刚刚发生的凭据泄露事件,微软的一名发言人表示,“我们已调查并采取措施确保这些凭据的安全。虽然凭据是不慎暴露的,但我们仍未发现敏感数据遭访问或凭据遭滥用的证据。我们正在继续调查并将持续采取必要措施,进一步阻止不当凭据分享的情况再次发生。”



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

多名微软员工在GitHub 上不慎泄露公司的内部登录凭据






推荐阅读

坐火车太无聊,我溜入微软 VS Code官方GitHub仓库,但没敢发动供应链攻击
微软收购 Semmle,GitHub 变身CVE 编号管理机构
数千个恶意仓库克隆传播恶意软件,GitHub正在调查
GitHub 突然封禁受制裁俄罗斯实体的开发人员账户
GitHub:攻击者正在利用被盗 OAuth 令牌攻击数十家组织机构



原文链接

https://www.vice.com/en/article/m7gb43/microsoft-employees-exposed-login-credentials-azure-github


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




多名微软员工在GitHub 上不慎泄露公司的内部登录凭据
多名微软员工在GitHub 上不慎泄露公司的内部登录凭据

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   多名微软员工在GitHub 上不慎泄露公司的内部登录凭据 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):多名微软员工在GitHub 上不慎泄露公司的内部登录凭据

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月20日01:17:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  多名微软员工在GitHub 上不慎泄露公司的内部登录凭据 http://cn-sec.com/archives/1244507.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: