Microsoft の従業員が誤って GitHub 経由で内部資格情報を漏らした

Microsoft の従業員は、会社のオンライン インフラストラクチャにログインするための機密資格情報を提供しています。Viceによると、リークはサイバーセキュリティ調査会社SpiderSilkによって最初に報告され、後にMicrosoftによって確認されました. 記事によると、開示されたデータはGitHubのスタッフからのものでした。

この問題を発見したサイバーセキュリティ企業 SpiderSilk のセキュリティ ディレクターである Mossab Hussein 氏は、Vice に、ソース コードのクラッシュや認証情報の漏洩をタイムリーに検出することがますます難しくなっていると語っています。彼は言った：

「ソース コードと資格情報の偶発的な漏洩は、会社の攻撃対象領域の一部であり、タイムリーかつ正確な方法で特定することがますます困難になっていることがわかります。これは、最近のほとんどの企業にとって非常に難しい問題です。」

Microsoft のクラウド コンピューティング サービスである Azure は、Amazon Web Services に似ています。資格情報の漏えいは、公式の Microsoft クライアント ID に関連していました。テナント ID は、特定の一連の Azure ユーザーに関連付けられた一意の識別子です。

Microsoft は、何回か尋ねられたとき、どのシステムが資格情報を保護するかについて詳しく説明することを拒否した、と Vice は述べた。このリークの結果、機密データにアクセスできなくなり、会社は資格情報の共有を防ぐために、より安全な手段を講じました。

ソース:バイス