![Microsoft 員工安全疏失,內部密碼外洩 Microsoft 員工安全疏失,內部密碼外洩](/Upload/Cybersecurity-60504-807801_20240410344_.webp)
微軟公司的員工因安全疏失而泄露內部密碼
撰稿人:愛德華·費爾森索爾
背景
微軟公司最近發生一起安全疏失事件,導致內部檔案和憑證被公開在網際網路上。安全研究人員發現這個問題並通知了微軟公司,隨後微軟公司已經解決了這一安全漏洞。
事件經過
安全研究人員與 SOCRadar 公司發現了一個存放在微軟 Azure 雲服務上的開放且公開的儲存伺服器,其中存放有與微軟的 Bing 搜尋引擎相關的內部訊息。這個儲存伺服器內包含著程式碼、指令碼和配置檔案,其中包含了微軟員工用於存取其他內部資料庫和系統的密碼、金鑰和憑證。然而這個儲存伺服器本身並未設定密碼保護,任何人都可以在網際網路上存取它。
安全風險
研究人員表示這些外洩的資料可能有助於惡意行為者識別或存取微軟儲存其內部檔案的其他位置。進一步的資料外洩可能會導致更嚴重的後果,甚至危及微軟所使用的服務。
回應行動
安全研究人員於 2 月 6 日通知了微軟此安全疏失,微軟於 3 月 5 日解決了這個問題。當前還不清楚這個儲存伺服器暴露在網際網路上的時間長短以及除 SOCRadar 外是否有其他人發現了這些外洩的資料。
後續
這次事件是微軟近年來的一次安全疏失。微軟公司在試圖重建與客戶之間的信任後,發生了一系列雲安全事件。去年類似的安全疏失事件中,研究人員發現微軟員工在發布到 GitHub 上的程式碼中暴露了公司內部網路的登入訊息。此外微軟還因為不知道中國支援的駭客如何竊取了一個內部電子郵件簽名金鑰而受到了批評。
評論
這次事件再次引起了人們對於大型科技公司在保護客戶資料安全方面的關注。無論是微軟還是其他企業,都應該將資料安全置於至關重要的位置。雖然微軟已經解決了這次的安全漏洞,但這絕對是一個提醒,提醒所有公司及其員工,保護公司資料是一個永恆而且不可忽視的課題。經驗教訓表明,公司必須不斷提高其 IT 基礎設施的安全性,並進行充分的員工培訓,以防範類似事件再次發生。
建議
對於微軟公司來說這次事件應該是一次深刻的反思,並應該引起全公司的高度警惕。微軟應該加固對員工的資料保護培訓,加固內部資料儲存的安全管理,確保公司的資料不會因為內部疏忽而外泄。同時其他企業也應該從這次事件中吸取教訓,加固自身的資料安全措施,做好風險預防與應對工作。
延伸閱讀
- 資安新創 Protexxa 創辦人 30 年 IT 經歷後籌得 720 萬美元,揭開員工資安衛生新篇章!
- 微軟因挖角 Inflection AI 創始人及員工而面臨英國反壟斷調查
- 資料洩露:數百萬 mSpy 間諜軟體客戶身份外洩
- 伊隆·馬斯克無需支付前 Twitter 員工 5 億美元遣散費,法院判決出爐
- 科技公司 Unit and Loop 開除員工,Brex 放棄共同執行長模式
- OpenAI 和普華永道簽署合約,將 10 萬名員工引進 ChatGPT 企業版,成為首家轉售合作夥伴
- HoundDog.ai 幫助開發者防止個人資訊外洩
- Bolster 宣布成功籌集 1400 萬美元,Microsoft’s M12 領投
- Truecaller 與 Microsoft 合作,讓其人工智慧以您的聲音回應來電
- Microsoft 推出針對團隊的 CoPilot