Dados confidenciais de login relacionados aos serviços Azure da Microsoft vazaram no GitHub. A empresa de pesquisa de segurança cibernética SpiderSilk descobriu as credenciais disponíveis no GitHub de contas pertencentes a funcionários da Microsoft.
Mas o vazamento de credenciais parece não ser intencional, a Microsoft compartilhou que elas não foram usadas para acessar dados confidenciais presentes nos servidores Azure. A Microsoft adquiriu o GitHub há algum tempo e esses vazamentos de senhas na própria plataforma que possui são surpreendentes.
Como as senhas da Microsoft vazaram no GitHub?
Placa-mãe entrei em contato com o SilkSpider, que descobriu as credenciais de login expostas no GitHub. Eles explicaram que sete credenciais de login estavam abertas e poderiam ser usadas por um invasor. A exposição da senha não foi intencional, mas se alguém a obtivesse, poderia se manifestar em um ataque completo de penetração do sistema.
O CSO do SilkSpider, Mossab Hussein, compartilhou que três em cada sete credenciais de login estavam funcionando quando as descobriram. Os outros quatro não funcionaram naquele momento, mas poderiam ter sido usados por alguém no passado para se infiltrar nos servidores do Azure.
Ele acrescentou que o compartilhamento acidental de código-fonte e uploads de credenciais estão se tornando extremamente comuns. Eles criam um ponto de entrada para os invasores obterem acesso a servidores que, de outra forma, seriam difíceis de invadir.
A Microsoft não compartilhou detalhes com a Motherboard sobre o vazamento de credenciais. O porta-voz informou que não há evidências de que dados confidenciais tenham sido acessados ou que as credenciais tenham sido usadas indevidamente. Além disso, eles estavam investigando ativamente o problema e trabalharão para evitar o compartilhamento inadvertido de credenciais.
Recentemente, o Slack também compartilhou notícias sobre um bug que poderia ter exposto a credencial de login de um usuário para todos em um canal. Aconselhou todos os usuários afetados a alterar suas senhas por e-mail. Tais incidentes são cada vez mais comuns, onde mesmo uma pequena falha de segurança pode atrair invasores, o que acaba comprometendo dados confidenciais do usuário.
