多名微软员工在GitHub 上不慎泄露公司的内部登录凭据

微软证实了这起数据泄露事件。SpiderSilk公司的研究指出，“我们仍看到偶发的源代码和凭据泄露是企业攻击面的一部分，及时准确地识别它们变得越来越难。这对于当前多数企业而言是一个非常具有挑战性的问题。”该网络安全公司此前曾发现了 Electronic Arts 的 Slack 通信的暴露清单；WeWork 开发人员上传的 WeWork 客户的个人信息以及教育巨头Elsevier 暴露的用户密码。

Hussein 向媒体 Motherboard 共提供了7个被暴露的微软登录凭据。所有这些凭据均用于 Azure 服务器。Azure 是微软的云计算机服务，类似于亚马逊的Web Services。所有被暴露凭据均与一个官方的微软租户ID相关联。租户ID是与特定的 Azure 用户关联的唯一标记符。其中一名 GitHub 用户也在自己的资料中列出了微软。

其中三个登录凭据在spiderSilk 发现之时仍然活跃，一个似乎是本文发表的几天前上传的。其它四组凭据虽然不再活跃但仍然凸显了员工不慎上传内部系统密钥带来的风险。

微软并未详述这些凭据所保护的系统。但一般而言，攻击者在获得对内部系统的初始访问权限后可能有机会转移到其它感兴趣的点。

含有被暴露且活跃凭据的其中一个 GitHub 资料提到了 Azure DevOps代码库。此类凭据可能造成的风险可参照三月份发生的另外一起入侵事件。攻击者获得对Azure DevOps 账户的访问权限，之后发布大量微软源代码，其中包括必应和微软的 Cortana 助手的源代码。

就刚刚发生的凭据泄露事件，微软的一名发言人表示，“我们已调查并采取措施确保这些凭据的安全。虽然凭据是不慎暴露的，但我们仍未发现敏感数据遭访问或凭据遭滥用的证据。我们正在继续调查并将持续采取必要措施，进一步阻止不当凭据分享的情况再次发生。”

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~