微軟公司的員工因安全疏失而泄露內部密碼
撰稿人:愛德華·費爾森索爾
背景
微軟公司最近發生一起安全疏失事件,導致內部檔案和憑證被公開在網際網路上。安全研究人員發現這個問題並通知了微軟公司,隨後微軟公司已經解決了這一安全漏洞。
事件經過
安全研究人員與 SOCRadar 公司發現了一個存放在微軟 Azure 雲服務上的開放且公開的儲存伺服器,其中存放有與微軟的 Bing 搜尋引擎相關的內部訊息。這個儲存伺服器內包含著程式碼、指令碼和配置檔案,其中包含了微軟員工用於存取其他內部資料庫和系統的密碼、金鑰和憑證。然而這個儲存伺服器本身並未設定密碼保護,任何人都可以在網際網路上存取它。
安全風險
研究人員表示這些外洩的資料可能有助於惡意行為者識別或存取微軟儲存其內部檔案的其他位置。進一步的資料外洩可能會導致更嚴重的後果,甚至危及微軟所使用的服務。
回應行動
安全研究人員於 2 月 6 日通知了微軟此安全疏失,微軟於 3 月 5 日解決了這個問題。當前還不清楚這個儲存伺服器暴露在網際網路上的時間長短以及除 SOCRadar 外是否有其他人發現了這些外洩的資料。
後續
這次事件是微軟近年來的一次安全疏失。微軟公司在試圖重建與客戶之間的信任後,發生了一系列雲安全事件。去年類似的安全疏失事件中,研究人員發現微軟員工在發布到 GitHub 上的程式碼中暴露了公司內部網路的登入訊息。此外微軟還因為不知道中國支援的駭客如何竊取了一個內部電子郵件簽名金鑰而受到了批評。
評論
這次事件再次引起了人們對於大型科技公司在保護客戶資料安全方面的關注。無論是微軟還是其他企業,都應該將資料安全置於至關重要的位置。雖然微軟已經解決了這次的安全漏洞,但這絕對是一個提醒,提醒所有公司及其員工,保護公司資料是一個永恆而且不可忽視的課題。經驗教訓表明,公司必須不斷提高其 IT 基礎設施的安全性,並進行充分的員工培訓,以防範類似事件再次發生。
建議
對於微軟公司來說這次事件應該是一次深刻的反思,並應該引起全公司的高度警惕。微軟應該加固對員工的資料保護培訓,加固內部資料儲存的安全管理,確保公司的資料不會因為內部疏忽而外泄。同時其他企業也應該從這次事件中吸取教訓,加固自身的資料安全措施,做好風險預防與應對工作。
延伸閱讀
- Google 解僱 28 名員工,因為他們爭議性的 Project Nimbus 合同與以色列引發的靜坐抗議
- 特斯拉裁員:優秀員工遭裁,某些部門大縮水
- 醫療資訊科技公司遭勒索軟體入侵,患者敏感資料外洩
- 敬請期待:與 Sand Technologies 一同探索未來員工與科技進化的策略
- 印度政府雲端外洩民眾個資多年
- Change Healthcare 系統故障: 病患資料或將外洩
- 科技明星對 JP 摩根的 8000 萬美元合作訊息岌岌可危,員工表示
- AI 影片生成競爭升溫:Deepmind 前員工推出 Haiper
- 「大熊彼爾裁員約 350 名員工,交友應用面臨大考驗」
- Sony 宣布裁減 PlayStation 部門 900 名員工